Avec le Règlement Général européen sur la Protection des Données, adopté le 27 avril 2016 à Bruxelles, le CIL va disparaitre le 25 mai 2018 au profit du Data Protection Officer, devenu Délégué à la Protection des Données en français. L'« officer » devient « Délégué » mais avec des missions de contrôleur de la conformité et de coordinateur de son réseau interne et externe. En 1978 les entreprises déclaraient à la CNIL leurs bases informatisées contenant des données personnelles. En 2005, elles les déclaraient à leur CIL. Le RGPD a été adopté le 14 avril 2016, transformant ce système déclaratif en démarche conformité. Finies les déclarations à la CNIL ou au CIL.
Bienvenue au DPO, pilote indispensable de la conformité. A moins d'un an de l’applicabilité du RGPD, prendre la route de la conformité nécessite un capitaine, mais qui ne peut être novice en la matière. Il faut un expert de la Privacy qui négociera les virages qui se trouvent sur son chemin, qui vaincra les vagues et ne coulera point.
17 500 CIL avaient été nommés par les organismes français, à fin décembre 2016. 80 000 DPO devraient prendre les rênes de la conformité.
Les entreprises qui avaient nommés des CIL dès 2006 vont nommer des DPO, anticipant dès 2017 les actions indispensables au 25 mai 2018, surtout que le RGPD rend la nomination du DPO obligatoire dans 3 cas.
- Les autorités et organismes publics devront avoir leur DPO, de même que les organismes dont l’activité de base nécessite un suivi régulier et systématique à grande échelle des personnes concernées.
- Les banques et compagnies d’assurance devraient donc avoir un DPO. Par contre les entreprises qui ont une base Ressources Humaines comportant des milliers de salariés ne seront pas visées car gérer leurs salariés n’est pas leur activité de base.
- Le 3ème cas vise à titre d’exemple les personnes gérant des données de santé, qui sont des données sensibles (hôpitaux, cliniques, laboratoires, sociétés pharmaceutiques, …).
Mais outre ces 3 cas, le G29, comme l'Association Data Protection Officer, recommandent la nomination d’un DPO car il aidera les organismes à prouver leur conformité RGPD.
A l’heure où les entreprises cherchent comment mettre en œuvre le RGPD, la CNIL leur a fixé des étapes pour les aider dans la démarche.
L’étape 2, à ne pas louper, est la cartographie des traitements. Les entreprises ayant nommé un CIL ont déjà fait une partie du travail car le CIL tient un registre des traitements. Reste néanmoins à vérifier que tous les traitements sont bien présents et avec toutes les informations souhaitées par le RGPD. Effectivement le registre devra désormais indiquer les mesures techniques et organisationnelles prises pour garantir que les exigences du règlement soient respectées, y compris en matière de sécurité.
L’article 30 du RGPD prévoit que ce soit le responsable de traitement ou le sous-traitant qui tienne le registre. Mais la pratique fait que c’est le DPO qui aura les informations nécessaires pour documenter le registre. Comment protège-t-on les locaux de l’entreprise et les bases informatiques ? Où sont localisés les serveurs de données : en France, en Europe, dans des pays hors UE ? Comment minimise-t-on les données car le RGPD (comme la loi fédérale allemande) recommande la minimisation, ainsi que le respect des principes de proportionnalité et de nécessité de la collecte des données personnelles.
Pour protéger les droits des personnes il faut limiter la conservation des données et la Loi Lemaire du 7 octobre 2016 prévoit que les personnes doivent être informées de la durée de conservation de leurs données.
Les entreprises se rendent compte que le RGPD a des exigences et des sanctions bien plus lourdes que celles des lois françaises (Loi Lemaire et Loi Informatique et Libertés, qui est d’ailleurs en cours de révision).
Le RGPD qui devait, à l’origine, harmoniser les législations européennes va cohabiter avec ces dernières car elles ont des particularismes qu’il faut toujours respecter.
Si le DPO n’est pas juriste, il faut qu’il entretienne des relations étroites avec ses collègues de la Direction Juridique pour bien comprendre toutes les règles qu’il doit appliquer. Il devra aussi former un tandem avec son Responsable de la Sécurité des Systèmes d’Information car il devra notifier à l’autorité de contrôle les violations de données personnelles.
Comme l’a dit la Commission Nationale Informatique et Libertés, il va devoir prioriser ses actions. Le RGPD est un chantier pour lequel le DPO ne devra pas se disperser essayant de tout faire pour la date butoir du 25 mai 2018 !
Les clauses contractuelles seront à réviser en priorité pour tous les nouveaux contrats avec les prestataires de service, dont la responsabilité pourra être désormais engagée.
L’entreprise doit gérer les risques et s’attacher tout d’abord à mettre en conformité les traitements comportant des risques que ce soit pour la vie privée des personnes ou la sécurité du patrimoine informationnel de l’entreprise. Plus que jamais le DPO apparaît comme incontournable et même vital car il est contrôleur de conformité, coordinateur d’un réseau d’experts et aussi le pompier qui lutte contre les atteintes à la cybersécurité malveillantes, mais hélas aussi parfois négligentes. N’affichez pas en évidence vos mots de passe ou l’inspecteur DPO vous le reprochera.
Le RGPD plus qu’un texte à respecter est un état d’esprit à avoir pour vivre dans notre monde digital.
Hélène LEGRAS
DPO Groupe AREVA
Vice-Présidente de l’Association Data Protection Officers