Le RGPD a été adopté par le Parlement européen le 14 avril 2016 et est entré en vigueur le 25 mai 2016. Mais les entreprises ont eu une période transitoire de 2 ans pour se mettre en conformité. Deux ans cela passe très vite. Les entreprises avaient tout intérêt à désigner avant mai 2018, une personne qui sera DPO (en interne ou externe) et à faire sa fiche de poste !
Qui est-il ?
Le Data Protection Officer (« DPO ») est une personne en interne ou un prestataire de service externe (comme un avocat) qui remplit, pour chaque entreprise européenne, une mission de conseil, de contrôle et de point de contact visée au RGPD. Le DPO sera associé de manière appropriée et en temps utile à toutes les questions touchant à la protection des données personnelles de son entreprise. Il sera soumis au secret professionnel. Le DPO veillera notamment à la protection des données personnelles des salariés de sa société mais aussi de celles de ses clients, de ses partenaires et de ses fournisseurs. Il aura plus de missions et de responsabilités que l’actuel CIL, même si a priori les CIL d’aujourd’hui constituent le vivier des futurs DPO de demain. Véritable acteur de la conformité, il sera responsable de l’« accountability » (prouver par de nombreux documents, la conformité à la loi), du « privacy by design » (respect de la protection des données dès la conception d’un traitement ou au moment de l’achat d’une application ou d’une prestation de développement) , du « security by default » (sécurité par défaut). Il sera également en charge des études d’impact sur la vie privée (« PIA ») pour les traitements à risques ou à chaque fois que demandé par la CNIL. Le DPO sera obligatoire pour les personnes publiques, pour les entreprises qui font du Big Data, du profilage de clients en masse ou encore des traitements sensibles. En d’autres termes, à chaque fois qu’une entreprise a son business model notamment basé sur la data ou a de très nombreuses données, il est fortement recommandé d’avoir un DPO.
Les qualités d’un DPO
Toutes ces tâches nécessitent que le DPO ait un réseau qu’il anime et avec lequel il travaille en étroite collaboration. Le DPO a son réseau interne et externe mais il est aussi le point de contact de l’autorité de contrôle (la CNIL en France) et des consommateurs ou clients pour les questions relatives aux données personnelles. Le DPO veillera à la sécurité et à la confidentialité des données, mettra en place les procédures et documents afin d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Le RGPD prévoit que la société signale les failles de sécurité dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Plus que jamais, DPO et RSSI se coordonneront et échangeront pour que cette obligation soit respectée. Le Responsable de la Sécurité des Systèmes d’Information (RSSI ; en anglais, Chief Information Security Officer ou CISO) d’une organisation (entreprise, association ou institution) est l’expert qui garantit la sécurité, la disponibilité et l’intégrité du système d’information et des données. Le DPO aura un rattachement hiérarchique fort au sein de son entreprise (puisque le RGPD précise qu’il doit « reporter » directement à la Direction générale) pour que cette dernière puisse défendre la conformité RGPD, surtout que les sanctions pourront désormais représenter 4% du chiffre d’affaires mondial ou 20 millions d’euros (sans oublier les sanctions pénales qui peuvent conduire le chef d’entreprise en garde à vue, voire condamné au pénal). Et la publicité de cette sanction perdure, ce qui porte atteinte à l’image de marque de l’entreprise ! Le DPO devra avoir des moyens techniques, humains et financiers pour mener à bien ses tâches, qui nécessitent une disponibilité de tous les instants, et surtout, pouvoir prouver à la CNIL l’existence et le maintien de ces moyens.
Ses obligations
Les DPO ont des cursus de formation et d’activités variés : ils sont juristes, informaticiens, Responsables de la Sécurité des Systèmes d’Information, auditeurs, commerciaux, risk managers, avocats, CIL externes, consultants ou autres, pourvu qu’ils aient eu une formation « en droit et aux pratiques en matière de protection des données ». Mais surtout le DPO a des qualités humaines et professionnelles : manager au sein de son réseau, organisé et pragmatique, communicant et relationnel, pédagogue, disponible et réactif. Il est passionné par sa fonction qui nécessite de connaître le droit, l’informatique et les arcanes de l’entreprise. Le DPO devra se tenir informé des évolutions juridiques, légales et réglementaires des lois sur les données personnelles, mais aussi sur le cadre juridique de sa société en général.
En vue de la mise en conformité
Les entreprises doivent cartographier leurs traitements et flux de données, entamer un audit de l’existant de conformité pour déterminer les écarts et les besoins de mises en conformité et mettre en place les remédiations documentaires, juridiques, informatiques et organisationnelles nécessaires. Parmi les futurs documents indispensables (au minimum une dizaine quand même), il sera indispensable de remplir puis mettre à jour le registre qui répertorie les traitements automatisés de données personnelles de l’entreprise. Le DPO sera l’élément clé pour que les entreprises et les organismes publics appliquent le Règlement Général sur la Protection des Données Personnelles, qui concerne les 28 pays de l’Union Européenne. Les entreprises ont désormais moins d’un an pour développer et mettre en œuvre une stratégie de mise en conformité.