Le 23 novembre 2017

Data Protection Officer

Le pilote de la RGPD

Le Réglement général sur la protection des données (RGPD) européen sera effectif le 25 mai 2018. La RGPD rend obligatoire la nomination d’un Data Protection Officer (DPO) pour les structures publiques. Certaines entreprises sont également concernées : il s’agit des entreprises dont les activités amènent à réaliser à grande échelle un suivi régulier des personnes ou de traiter de données « sensibles ».

La RGPD renforce les responsabilités des entreprises en matière de protection des données personnelles et sanctionne les abus. En France, le plafond maximal des sanctions de la CNIL est passé de 150 000 euros à 3 millions d’euros avec la Loi pour une république numérique de 2016. Les amendes prévues par la RGPD peuvent atteindre les 20 millions d’euros.

Les missions du DPO

Le DPO doit veiller à l’intégrité et la protection des données personnelles de l’entreprise. Il doit s’assurer que celle-ci respecte la législation lorsqu’elle utilise les données à des fins commerciales mais aussi à des fins internes. Son rôle est transversal, ce qui l’amène à travailler avec différents services : direction générale, marketing, RH,… En cas de manquement à la loi, il est tenu d’alerter sa direction dans les plus brefs délais.

Le DPO établira une cartographie de l’ensemble des traitements de donnés de l’entreprise et analysera chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement. Le DPO participera à la gestion des éventuels incidents de sécurité survenant sur le SI. Si une fuite ou un vol de données est constaté, l’incident doit être déclaré dans les 72 heures.

Le DPO est également l’intermédiaire entre l’entreprise et l’autorité de contrôle, la CNIL. Ce poste est assez proche de celui de Correspondant informatique et libertés (CIL), créé depuis 2005. Sur les 4800 CIL actuellement en poste, une grande majorité devrait devenir DPO d’ici mai 2018.

Pour que les entreprises et les structures publiques se mettent en règle avec la RGPD, la CNIL propose des ateliers d’information sur le sujet et des formations existent pour se former au poste de DPO.

La nomination devra être déclarée auprès de la CNIL via un formulaire en ligne.

Comment choisir son DPO ?

Le DPO doit suivre un certain nombre de critères de compétences et d’éthique. Son expertise doit être technique et réglementaire et doit pouvoir répondre au niveau de protection exigé pour les données. Des connaissances approfondies du RGPD et des pratiques de data privacy nationales et européennes sont requises. Outre la technique et le juridique, le DPO doit bien connaitre les enjeux business, afin de ne pas se positionner comme un frein au développement de l’entreprise.

Laisser un commentaire