Le guide pratique du DPO Épisode 2 · 2017. 12. 7. · Livre Blanc DPMS : le guide pratique du «...

Le guide pratique du DPO Épisode 2

Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, Président de l’UDPO

Livre Blanc DPMS : le guide pratique du « DPO »

2

Episode2

DPO,quelprofilpourquelle(s)mission(s)? 3 - DPO : quel profil pour quelle(s) mission(s) ? DPO : Qui est-il ? Comme le définit la CNIL, le Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) est une évolution du Correspondant à la protection des données à caractère personnel défini dans le titre III (articles 42 à 55) du décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, plus connu sous l’appellation de Correspondant Informatique & Libertés (CIL). Cette fonction de DPD est définie dans le Règlement Général sur la Protection des Données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97 et par sa section 4. L’article 37 traite de la désignation du délégué à la protection des données, l’article 38 décrit ses fonctions et l’article 39 liste ses missions. Attention toutefois à la réalité du « terrain » : Globalement, bon nombre d'experts estiment que 70% des CIL ne seront pas DPO. L'absence de formation suffisante est un réel motif tout comme le « positionnement » des CIL actuels au sein des organisation. En outre, certains CIL risquent de se faire ‘doubler’ par des ‘politique’ qui voient d’un bon œil ce rôle stratégique. Quelles différences entre le CIL et le délégué ? Le délégué à la protection des données est le successeur naturel du CIL. Si leurs statuts apparaissent comme similaires, le règlement précise les exigences portant sur le délégué s’agissant de ses qualifications (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et de sa formation continue (entretien de ses connaissances spécialisées).

Pour la CNIL, tous les CIL ne pourront pas « migrer » vers une fonction de DPO (lire : http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil)


3

Les prérogatives et missions d'un DPO sont renforcées, s’agissant en particulier de son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

Par ailleurs, les organismes doivent fournir à leur délégué les ressources nécessaires à ses missions (notamment l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données, lui donner accès aux données ou encore lui permettre de se former). DPO et CIL : qui fait quoi en 2018 ? Il est probable que dans certaines configurations, les délégués à la protection des données désignés auprès de la CNIL dès mai 2018 soient d’anciens CIL internes confirmés dans leur position. Pour les nouveaux entrants, des personnes issues de métiers distinct pourraient correspondre au « profil idéal ». Rappelons que dans l'esprit du texte européen, le RGPD suppose des connaissances organisationnelles, juridiques et techniques. Sur le terrain, cette approche peut par exemple correspondre à la mise en place d'un comité RGPD ou plusieurs métiers seront représentés, le tout « orchestré » par un DPO. Lors de la mise en place concrète du GDPR, les grandes entités de type CAC 40 auront en interne leur propre DPO à un niveau de hautes responsabilités. Les entités plus modestes ou les petites entités administratives telles que des petites municipalités disposeront soit d'un DPO « commun », mutualisé comme cela existe pour certaines fonctions CIL. Les organisations pourront aussi faire appel à un service externalisé : « DPO as a service » composé d'auditeurs issus de Big Five, cabinets d'audits spécialisés... Certains scénarios mettent en scène des réseaux de CIL pour chaque unité. Ils auraient un rôle de correspondants de DPO qui superviseraient plusieurs entités… Quelle(s) mission(s) prioritaires pour le DPO ? Le rôle des futurs DPO consiste à devenir des data managers de haut niveau. La mission principale d’un DPO c'est de s'assurer du respect de la conformité (compliance) pour que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. La fonction de Délégué à la protection des données est un élément clé de co-régulation, par la pratique. Il doit piloter le projet RGPD à travers différents chantiers ce qui suppose la mise en place avec l'ensemble des décideurs


4

concernés de procédures et méthodes. C'est notamment le cas dans l’accompagnement des projets IT en cours avec les notions de « Privacy by Design » ou l’encadrement des transferts de DCP (à des tiers ou hors UE). A ces chantiers s'ajoutent la mise en œuvre des procédures liées à l’information des clients et utilisateurs internes (gestion des consentements par exemple). A un niveau plus global, le DPO doit aussi gérer les contrôles et audits et s’assurer de la bonne tenue des registres. Sur l'aspect purement technique concernant par exemple le choix et les usages d'outils labellisés, le DPO doit se tourner vers les Managers IT notamment les RSSI. 4 – Approche juridique et économique du DPO 4-1 Au sein de quel cadre évolue le DPO ? Le DPO dispose d’une liberté organisationnelle et décisionnelle dans le cadre de sa mission. Il agit de manière indépendante et transversale « comme un audit interne ». Le DPO ne reçoit aucune instruction dans l’exercice de sa fonction et arrête seul les décisions s’y rapportant. Cette liberté ne signifie pas qu’il agit seul et sans concertation. Il peut prendre contact avec quiconque (y compris la CNIL) dans le cadre de sa fonction. Le responsable du traitement conserve l’entière responsabilité des traitements de données mis en œuvre. Toujours au plan juridique, un DPO doit assurer la surveillance des mises en place des dispositions légales et réglementaires au sein des applications (internes ou hébergées chez des partenaires ou opérateurs Cloud). 4-2 Responsabilité juridique du DPO Soyons clairs : le DPO n’endosse pas la responsabilité juridique qui pèse sur le responsable de traitement concernant la conformité. En revanche, il doit responsabiliser les entreprises, ainsi que leurs sous-traitants, assurer plus de transparence envers les personnes (clients, prospects, collaborateurs, partenaires, candidats...). Cette approche signifie que le DPO doit impérativement instaurer une relation de confiance avec l'ensemble des acteurs de l'univers numérique propre à son organisation. A noter qu'un Délégué à la protection des données est tenu au secret professionnel. Sous réserve des cas prévus ou autorisés par la loi, le DPO respecte une stricte confidentialité des informations, procédures, usages, plaintes et litiges dont il a connaissance dans le cadre de son activité.


5

La responsabilité du délégué est similaire à celle du CIL. Les lignes directrices du G29 précisent que le délégué n’est pas responsable en cas de non-respect du règlement. Ce dernier établit clairement que c’est le responsable du traitement (RT) ou le sous-traitant (ST) qui est tenu de s’assurer et d'être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24.1 du règlement). Le respect de la protection des données relève donc de la responsabilité du RT ou du ST.

Notons que dans le cadre juridique « national », pour la France, le CIL (et le futur DPO) pourrait comme n’importe quel autre collaborateurs agent, voir sa responsabilité pénale engagée. Mais il s'agit là d'une loi qui peut concerner n'importe quel collaborateur.

5 – DPO et bonnes pratiques » : avant tout démontrer l'intention de mise en conformité 5-1 –Sensibiliser et informer sur les exigences du RGPD / GDPR

- Le DPO doit mener les actions visant à sensibiliser la direction, les collaborateurs - dont le personnel participant aux opérations de traitement - aux règles à respecter en matière de protection des données à caractère personnel ; Il doit s’assurer que les personnes concernées sont informées des traitements opérés impliquant leurs données personnelles, ainsi que de leurs droits.

Comment atteindre cet objectif ?

- Présenter les efforts de mise en conformité (compliance) comme productifs et positifs, et non comme seulement des contraintes :

Le DP peut proposer la définition de méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité ce qui suppose d'identifier des priorités au niveau des traitements et applications touchant aux DCP. 5-2 - Veiller au respect du cadre légal Le DPO veille en toute indépendance au respect du Règlement européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres. Il veille encore à la conformité de son organisation avec les règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement.


6

Comment atteindre cet objectif ? S'imposer : le DPO doit obligatoirement se voir consulter avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement. Il peut également faire appel à des expertises extérieures de type « DPO as a service ». Un ‘workflow’ doit ainsi être établi entre les opérationnels et le réseau Informatique et Libertés piloté par le DPO. 5-3 Informer et responsabiliser, alerter si besoin la hiérarchie Le DPO informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. Cette approche le conduit à faire toutes sortes de recommandation au Responsable des traitements et à présenter des demandes d’arbitrage. Le DPO veille à formaliser une procédure pour informer directement le ou les Responsable (s) de traitement d’une non-conformité majeure. Comment atteindre cet objectif ? Le DPO doit bénéficier d'un sponsor pour faire passer ses messages auprès des COMEX, CODIR et Secrétariats généraux. Il travaille aussi avec le Responsable du traitement ou son représentant, conformément à l’article 38 du RGPD. Un Comité de pilotage mené par le DPO doit être mis en place avec les directions principales : DRH, DJ, DSI, RSSI, audit / contrôle interne et métiers. 5-4 Analyser, investiguer, auditer, contrôler Le DPO pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.). Il vérifie en partenariat avec les services juridiques et d'audit le respect du cadre légal. A noter : le RGPD désigne comme responsables des sous-traitants qui fournissent des solutions clef en main aux entreprises (éditeurs). Ces fournisseurs auront des obligations similaires aux responsables de traitements et pourront être sanctionnés comme eux. Comment atteindre cet objectif ?


7

On le comprend, le DPO est totalement impliqué sur certains services et traitements en rapport direct avec la protection des DCP. Exemples : EIVP (Étude d’impacts sur la vie privée) ; - « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception) ;

- Notification des violations de données et communication aux personnes concernées,

- Droit à l'oubli... - Le DPO doit aussi s'assurer de la conformité réglementaire des

solutions « externes » (outils informatiques par exemple) 5-6 Établir et maintenir une documentation au titre de « l’accountability » Le DPO rédige et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements pour lequel il doit être spécifiquement missionné), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle (CNIL en France). Comment atteindre cet objectif ? Mettre en place un outillage dédié et labellisé (ex : PrivaCIL powered by Case Manager IBM du groupe DPMS). 5-7 Assurer la médiation et la communication avec les personnes concernées Le DPO reçoit les demandes et réclamations des personnes concernées et veille au respect du droit des personnes. Il traite ces réclamations et demandes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement. Rappelons que dans le nouveau cadre mis en place par le RGPD le DPO est désigné pour tous les traitements obligatoirement contrairement au CIL qui pouvait être « partiel ». Comment atteindre cet objectif ?


8

Développer en interne des « process » dédiés à ces demandes spécifiques. Les risques en cas de non-respect sont importants pour l'organisation : « class action », atteinte à l'image... En pratique un scénario de type intégration des clauses RGPD dans les contrats à venir est envisageable. Pour l’existant, il faut une fois encore communiquer les volontés du DPO (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier. 5-8 Présenter un rapport annuel à sa hiérarchie Le DPO rend compte de son action en présentant chaque année un rapport à sa hiérarchie. Ce rapport est le reflet fidèle de son action au cours de l’année écoulée et fait état des éventuelles difficultés rencontrées. Comment atteindre cet objectif ? Au-delà des registres RGPD obligatoires et des process internes certains outils existent (COPIL) pour réaliser les rapports intermédiaires et finalisés le rapport annuel. 5-9 Interagir avec l’autorité de contrôle Le DPO représente le point de contact privilégié pour l’autorité de contrôle, avec laquelle il communique sur les questions relatives aux traitements mis en œuvre par l’organisme qu'il représente. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Dans ce cas, le responsable du traitement veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. Comment atteindre cet objectif ? Le positionnement du DPO dans l’organisme ainsi que son indépendance demeurent des facteurs stratégiques pour l'efficacité et la portée de ses actions. 6 - DPO : quelle formation reconnue doit-il posséder ? 6-1 : La certification EUR des DPO avec l'UDPO et Bureau Veritas


9

Certification Outre des formations plus « classiques » IT, Droit, audit... existent des formations dédiées à cette future fonction. Sans être une profession réglementée, la fonction de DPO impose de solides connaissances « transverses ». C'est en partant de cette idée, que l'UDPO* est née. Elle délivre une carte professionnelle après examen auprès d'examinateurs agréés par Bureau Veritas certification. La carte sera délivrée aux adhérents de l’UDPO après leur succès à l’examen. Ils devront prouver avoir effectué deux ans d'exercice en tant que DPO ou dans le secteur Informatique et Libertés et prouver avoir suivi une formation d’au moins 6 jours (ANAXIL- DPMS est à ce jour le seul organisme agréé par BV certification). C'est une bonne approche. Cette certification EUR sera la seule en Europe à proposer une formation via des organismes européens. Le modèle existe depuis deux ans en Italie et doit être déployé par Bureau Veritas sur l’Europe. Cette certification permettra aux organismes de pouvoir s’assurer de l’expertise opérationnelle de leur DPO (notamment ‘as a service’) et distinguer « le bon grain de l’ivraie ». 6-2 Quelles expertises doit détenir un DPO ? Officiellement, le texte européen ne fait mention d'aucun diplôme spécifique pour devenir DPO. Cependant, le règlement met l’accent sur le besoin de formation initiale et continue. Sur ce dernier point, la certification apporte une réponse : pour son maintien il faut prouver avoir suivi un certain nombre de jour/an de formation et elle doit être renouvelée tous les 3 ans avec un nouvel examen Le DPO doit maîtriser les techniques propres à son métier, concernant notamment les aspects organisationnels et d'audit avec par exemple les analyses de conformité d’un traitement de données à caractère personnel. Il doit aussi maîtriser et savoir coordonner des chantiers liés à la réalisation ou le pilotage d’audits afin de vérifier la conformité de traitements ou le respect de « procédures WEB » (traitement des demandes de droits des personnes, précautions à prendre en matière de contenu de zones de libre commentaire ou de cookies, détermination des durées de conservation, conception des mentions d’information des personnes, etc.), Le DPO en accord avec le service juridique, le Risk Manager et les services qualités / achat doit pouvoir répondre aux contrôles au sein de l'organisation de la CNIL. En collaboration avec les services Risques et sécurité IT de son organisation, il doit veiller et coordonner la réalisation


10

de demandes d’avis ou d’autorisation auprès de la CNIL, la réalisation d’une EIVP et la gestion d’une notification de violation de données dans un délai de 72 heures. La pratique de la langue anglaise est un plus, afin d’être en mesure d’exploiter les nombreux documents et travaux uniquement rédigés dans cette langue. 6-3 Quelles qualités personnelles doit posséder un DPO ? On l'a vu, indépendant et objectif, le DPO est avant tout un homme de communication à la croisée de trois chemins : juridiques, techniques et organisationnels. Le Délégué à la protection des données fait preuve d’objectivité, d’indépendance, de probité et de discrétion. Il résiste au stress et à toutes sortes de tensions et pression. Il doit être libre et indépendant. Le Responsable de traitement doit définir et faire connaître les mesures garantissant l’indépendance du DPO. Ce dernier doit savoir refuser toute ingérence dans son action et bénéficier de l'écoute de la DG (directement ou via un « sponsor »). Ce doit être également un fin « politique » qui maîtrise les règles de la « communication ». Rappelons que l'aide d'un « sponsor » auprès de la DG sera nécessaire pour faire passer certains « messages ». Le côté communicant est également indispensable car il doit sensibiliser et former les équipes. Rappelons aussi qu'en fonction des trois grands axes définis par la philosophie du RGPD (organisationnel, juridique et solutions techniques) différentes directions (RH, juridiques, achats, audit...) ainsi que des « métiers » doivent collaborer avec le DPO par ailleurs « proche » de la DG. 7 - Les avantages concurrentiels de la conformité RGPD Homogénéité : Rarement évoqué, ce point est stratégique notamment auprès des services marketing, ventes et bien entendu des Directions Générales. C'est un message que chaque DPO doit délivrer notamment face à des contradicteurs. Avant le GDPR, l’UE tentait de faire appliquer la directive de 1995 sur la protection des données personnelles. Le problème c'est que chaque pays membre disposait d'un texte « propre », ce qui donnait lieu à des mises à niveau de la conformité variables au sein de l’UE. Le RGPD va désormais offrir une harmonisation homogène des pratiques via des dispositifs complets à l'échelle européenne.


11

Meilleure visibilité des « datas » suite à une cartographie obligatoire des DCP : Via les "contraintes" et "exigences" du RGPD, les entreprises et organisations vont devoir obligatoirement réaliser un "cyber-nettoyage" interne. Ce toilettage des traitements, applications et données (DCP) va apporter plus de clarté sur le patrimoine numérique et sera bénéfiques pour l'ensemble des services et départements. Satisfaction client : Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs. De ce fait, des clients dont les données seront mieux protégées via des procédures obligatoires au sein de toute l'Europe seront plus « rassurés » par une « compliance RGPD » clairement affichée. Communication positive : La communication autour du projet RGPD devra aussi valoriser les travaux menés afin d’en faire un atout dans la relation clients, partenaire et collaborateurs. Qualification des données : La transparence paye. Les Données sont compatibles avec un cadre réglementaire qui garantit l'authenticité des données basées sur une qualification de bases d'informations fiables. Des actions de cross-selling combinées à une meilleure connaissance de clients mis en confiance peuvent aussi dans le respect des règles du RGPD apporter des actions plus qualifiées (publicité ciblée par exemple). Enfin, n'oublions pas de signaler que la mise en place des chantiers demandés par le RGPD servira de base à une démonstration de volonté intentionnelle pour que les organisations se montrent « conformes » au RGPD. Ces bonnes intentions vont constituer un atout indispensable pour éviter les d'éventuelles pénalités financières voire des « class action ». A suivre... Rédaction par Jean-Philippe Bichard Images © Adobe Stock

Le guide pratique du DPO Épisode 2 · 2017. 12. 7. · Livre Blanc DPMS : le guide pratique du «...

Documents

Transcript of Le guide pratique du DPO Épisode 2 · 2017. 12. 7. · Livre Blanc DPMS : le guide pratique du «...