GDPR (5) Devez-vous vous doter d’un Data Protection Officer ?

19 août 2017

Il y a fort à parier que le Data Protection Officer (DPO), ou Délégué à la Protection des Données en français, jouera un rôle important dans votre parcours GDPR. Cet article s’intéresse aux entreprises qui doivent se doter d’un DPO et au rôle de cette personne.

Le GDPR n’oblige pas chaque Responsable à désigner un DPO. Durant les discussions préparatoires, il a semblé, pendant longtemps, que l’obligation s’appliquerait à toutes les sociétés de 250 travailleurs et plus. Toutefois, cette disposition n’a finalement pas été retenue. Désormais, l’obligation se fonde davantage sur la nature de l’entreprise. Si les activités d’une société présentent un risque réel de violations graves de la vie privée, que ce soit par la quantité des données traitées, leur nature ou la fréquence des traitements, celle-ci doit se doter d’un DPO chargé de veiller au respect de la législation. Un certain nombre de structures doivent désigner un DPO dans tous les cas : tous les organismes publics, toutes les sociétés dont l’activité principale consiste à assurer le traitement de catégories particulières de données à caractère personnel, ainsi que toutes les structures dont l’activité principale porte sur la collecte et le traitement de données à caractère personnel sur une base régulière, systématique et à grande échelle.

Même si ce n’est pas obligatoire légalement, il est conseillé d’attribuer explicitement le rôle de DPO à une personne. Vous disposerez ainsi immédiatement d’un éclaireur pour le parcours préparatoire. Le DPO veillera à ce qu’une culture de la protection des données règne au sein de votre société, à ce que la question de la confidentialité des données soit régulièrement à l’ordre du jour et à ce que votre entreprise soit prête à temps pour le GDPR. Pour remplir sa tâche, le DPO devra disposer de suffisamment de temps pour étudier la législation et se familiariser avec la matière concernée, mais ses connaissances pourront ensuite être communiquées au reste de l’entreprise. Il est dès lors logique que le DPO joue un rôle de premier plan dans le parcours GDPR.

Conditions relatives au Data Protection Officer

Les sociétés qui désignent un DPO doivent tenir compte d’une série de prescriptions. Le nom et les coordonnées du DPO doivent être communiqués à la Commission Vie privée. Le DPO doit être un spécialiste de la législation relative à la protection de la vie privée, mais également connaître de manière approfondie sa propre société, son fonctionnement ainsi que le marché sur lequel elle opère. Il doit en outre disposer d’une autorité et de moyens suffisants pour remplir sa tâche. Il est censé faire rapport à la haute direction et donc bénéficier d’une autonomie suffisante. Il convient par ailleurs d’éviter les conflits d’intérêts. Par exemple, dans la plupart des cas, un responsable informatique ne pourra pas simultanément porter la casquette de DPO, car il devrait alors contrôler les mesures de protection mises en place par sa propre équipe. Bien entendu, les modalités de mise en œuvre dépendent de la taille de la structure concernée. Dans une petite entreprise, le rôle de DPO n’est pas une mission à plein temps, mais se combine à d’autres tâches. Signalons au passage que la fonction de DPO peut également parfaitement être assumée par une personne externe.

Le GDPR n’indique pas le diplôme ou les certificats qu’un DPO doit posséder et ne précise pas non plus les connaissances et l’expérience qui doivent primer : juridiques, organisationnelles ou techniques. Bien entendu, des connaissances minimales sont nécessaires, même au sein d’une petite entreprise. Outre le renforcement des connaissances, qui peut se faire à travers toutes sortes de forums, il sera évidemment utile d’investir dans quelques journées de formations spécifiques.

Le groupe Joos a désigné un DPO très tôt, dès le printemps 2016. Cette personne n’est pas issue de l’environnement des TIC, mais des activités commerciales et de la conformité. Sa formation poussée a été le point de départ du renforcement des connaissances au sein de notre société. Elle s’est immédiatement chargée d’élaborer une politique de protection des données à caractère personnel, qui a fait l’objet de discussions approfondies avec la direction et même avec le Conseil d’administration. Ce document constitue la base de toute la suite du projet GDPR. Dans ce cadre, le DPO assure actuellement la supervision de l’inventaire des données à caractère personnel et de leurs traitements – tout sauf une sinécure, dans une entreprise dont le cœur de métier consiste justement à traiter des données à caractère personnel.

Un DPO est un atout

Disposer d’un DPO est donc un grand avantage, même si ce n’est pas légalement obligatoire dans votre situation spécifique. Le DPO joue un rôle dans chacune des six étapes préparatoires que nous avons définies dans l’article 4 du blog.

Du reste, dans le cadre de diverses autres procédures ayant trait aux données à caractère personnel, d’autres tâches importantes sont confiées au DPO. Il est associé à la mise en place de chaque nouveau traitement de données à caractère personnel et dispense des conseils sur les risques et les mesures de protection nécessaires. Il est impliqué dans le suivi des incidents ou des réelles fuites de données et constitue à cet égard le premier interlocuteur tant des clients que des personnes concernées et des autorités de surveillance. Enfin, la tâche première du DPO consiste à garantir les droits des personnes concernées. Il est donc leur point de contact direct. La fonction de DPO sera abordée régulièrement dans d’autres articles du blog.

Dans les articles 6 et 7, nous nous pencherons plus en détail sur l’inventaire des données à caractère personnel et sur le registre des traitements, puisqu’il s’agit là, pour chaque responsable, du point de départ de la préparation au GDPR.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING