En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour un commerce de détail alimentaire
    <1000 €
    > En savoir plus
  • Création d'un site eCommerce dans le domaine de la mode
    < 5 000 €
    > En savoir plus
  • Migration d'un site E-commerce de vente de spiritueux vers PrestaShop
    < 7 000 €
    > En savoir plus
GlobalK_GDPR _leaderboard

Le DPO, maître d’œuvre du RGPD

12/11/2017 | commentaires 0 commentaire |
Primobox_Demat RH_pave 2

 

 

Garance Mathias,
Avocat à la Cour

 

 

Juridique

Les 5 réflexes du DPO

L’entrée en application du règlement général n°2016/679 sur la protection des données à caractère personnel (RGPD) le 25 mai 2018 introduit un nouvel acteur, véritable clé de voûte de la conformité, le Délégué à la Protection des Données (Data Protection Officer – DPO). Garance Mathias, Avocat à la Cour, a dressé une liste recensant les 5 réflexes essentiels à adopter pour les futurs DPO.

 

Le DPO est un acteur indépendant qualifié, dont la désignation est obligatoire pour certains organismes. Indépendamment de cette obligation, tout acteur devrait s’interroger sur l’opportunité de désigner un DPO dans le cadre d’une stratégie de gouvernance en matière de protection des données. Dans le cadre de ses missions définies à l’article 39 du RGPD, le DPO doit veiller à la conformité du traitement mis en œuvre par le responsable du traitement ou le sous-traitant à la règlementation applicable à la protection des données à caractère personnel et notamment au RGPD. Ainsi, le DPO accompagne et guide les équipes métiers du responsable du traitement ou le sous-traitant au quotidien.

1– Vérifier le respect des principes fondamentaux

Le DPO doit s’assurer que le responsable du traitement ou le sous-traitant respecte les principes fondamentaux de la protection des données tant au stade de la définition du traitement, qu’au stade de sa mise en œuvre.

2 – Evaluer en priorité les mesures techniques et organisationnelles pour préserver l’intégrité et la confidentialité des données à caractère personnel

Dans ce cadre, le DPO est notamment amené à se demander :

> Quelles sont les mesures de sécurisation globale du système d’information mises en place ? Il peut s’agir par exemples de restrictions d’accès aux locaux, de pare-feu ou d’un verrouillage automatique des postes individuels.

> Quelles sont les mesures techniques et organisationnelles spécifiques mises en place ? Il peut notamment s’agir de chiffrement, traçabilité des accès logiques, pseudonymisation ou encore d’une clause de confidentialité renforcée pour les personnes accédant aux données à caractère personnel.

3 – Déterminer la nécessité de réaliser une analyse d’impact préalable

L’analyse d’impact préalable à la mise en œuvre du traitement des données à caractère personnel est une obligation à la charge du responsable du traitement, dans certains cas. Cependant, le DPO est tenu de conseiller et de contrôler le respect du RGPD sur ce point. A ce titre, il doit déterminer la nécessité pour le responsable du traitement de réaliser une analyse d’impact. Dans ce contexte, les questions suivantes peuvent se poser :

Le traitement figure-t-il sur l’une des deux listes recensant respectivement les traitements dispensés et les traitements obligatoirement soumis à une analyse d’impact ?

Si ce n’est pas le cas, le traitement présente-t-il des risques pour les droits et libertés des personnes concernées ? Le DPO doit notamment se référer aux critères définis par le G29 dans ses lignes directrices sur l’analyse d’impact du 4 avril 2017.

4 – Garantir le respect des droits des personnes concernées

Le DPO est le point de contact des personnes concernées. Afin que celles-ci puissent exercer leurs droits, le responsable du traitement doit s’assurer que des mesures en ce sens ont été prises. Dans ce contexte, le DPO doit vérifier l’information délivrée aux personnes concernées.

5 – Vérifier les modalités de participations éventuelles de sous-traitant(s)

Rappelons qu’il appartient au responsable du traitement, lorsqu’il fait appel à un sous-traitant, de vérifier que ce dernier présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).

Dans le cadre de ses missions, le DPO peut s’assurer de ces garanties en s’adressant à son homologue, lorsque le prestataire a désigné un DPO, ou en sollicitant des équipes métiers les éléments de nature à justifier de la maturité du prestataire notamment en :

> Demandant les justificatifs de certifications, d’adhésion à des codes de conduite ou encore en demandant les résultats d’un audit ad hoc sur pièces (fourniture de pièces telles que la politique de protection des données…).

> Analysant le contrat et plus particulièrement en vérifiant que le contrat contient une clause de protection des données efficace, définissant clairement les rôles et responsabilités de chacun ainsi que les instructions du responsable du traitement.

Auteur : Garance Mathias, Avocat à la Cour

Dossier publié dans Solutions Numériques N°18

Le DPO, maître d’œuvre du RGPD
Notez cet article

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cartes bancaires piratées : un réseau international démantelé

    La justice américaine a annoncé mercredi 7 février l'inculpation de 36 personnes accusées d'animer Infraud,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Collaboration entre développeurs freelances et entreprises : pourquoi les grands groupes doivent recruter un Chief Freelance Officer

    Recruter un Chief Freelance Officer ? Charles Thomas, CEO et co-fondateur de Comet, une start-up…

    > En savoir plus...
Etudes/Enquêtes
  • CES 2018, l'occasion de prendre la température du monde de la technologie

    Le Consumer Electronics Show qui ouvre ses portes aujourd’hui à Las Vegas, premier grand salon…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
GlobalK_GDPR _skycraper