En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de rose des vents configurables
    < 8 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de décorations 3D
    < 480 €
    > En savoir plus
  • Création d'un site eCommerce PrestaShop pour la vente d'articles de sport
    < 5 000 €
    > En savoir plus
C-S_4e trimestre_banniere

Le DPO, maître d’œuvre du RGPD

12/11/2017 | commentaires 0 commentaire |
Ixia_RGPD_pave

 

 

Garance Mathias,
Avocat à la Cour

 

 

Juridique

Les 5 réflexes du DPO

L’entrée en application du règlement général n°2016/679 sur la protection des données à caractère personnel (RGPD) le 25 mai 2018 introduit un nouvel acteur, véritable clé de voûte de la conformité, le Délégué à la Protection des Données (Data Protection Officer – DPO). Garance Mathias, Avocat à la Cour, a dressé une liste recensant les 5 réflexes essentiels à adopter pour les futurs DPO.

 

Le DPO est un acteur indépendant qualifié, dont la désignation est obligatoire pour certains organismes. Indépendamment de cette obligation, tout acteur devrait s’interroger sur l’opportunité de désigner un DPO dans le cadre d’une stratégie de gouvernance en matière de protection des données. Dans le cadre de ses missions définies à l’article 39 du RGPD, le DPO doit veiller à la conformité du traitement mis en œuvre par le responsable du traitement ou le sous-traitant à la règlementation applicable à la protection des données à caractère personnel et notamment au RGPD. Ainsi, le DPO accompagne et guide les équipes métiers du responsable du traitement ou le sous-traitant au quotidien.

1– Vérifier le respect des principes fondamentaux

Le DPO doit s’assurer que le responsable du traitement ou le sous-traitant respecte les principes fondamentaux de la protection des données tant au stade de la définition du traitement, qu’au stade de sa mise en œuvre.

2 – Evaluer en priorité les mesures techniques et organisationnelles pour préserver l’intégrité et la confidentialité des données à caractère personnel

Dans ce cadre, le DPO est notamment amené à se demander :

> Quelles sont les mesures de sécurisation globale du système d’information mises en place ? Il peut s’agir par exemples de restrictions d’accès aux locaux, de pare-feu ou d’un verrouillage automatique des postes individuels.

> Quelles sont les mesures techniques et organisationnelles spécifiques mises en place ? Il peut notamment s’agir de chiffrement, traçabilité des accès logiques, pseudonymisation ou encore d’une clause de confidentialité renforcée pour les personnes accédant aux données à caractère personnel.

3 – Déterminer la nécessité de réaliser une analyse d’impact préalable

L’analyse d’impact préalable à la mise en œuvre du traitement des données à caractère personnel est une obligation à la charge du responsable du traitement, dans certains cas. Cependant, le DPO est tenu de conseiller et de contrôler le respect du RGPD sur ce point. A ce titre, il doit déterminer la nécessité pour le responsable du traitement de réaliser une analyse d’impact. Dans ce contexte, les questions suivantes peuvent se poser :

Le traitement figure-t-il sur l’une des deux listes recensant respectivement les traitements dispensés et les traitements obligatoirement soumis à une analyse d’impact ?

Si ce n’est pas le cas, le traitement présente-t-il des risques pour les droits et libertés des personnes concernées ? Le DPO doit notamment se référer aux critères définis par le G29 dans ses lignes directrices sur l’analyse d’impact du 4 avril 2017.

4 – Garantir le respect des droits des personnes concernées

Le DPO est le point de contact des personnes concernées. Afin que celles-ci puissent exercer leurs droits, le responsable du traitement doit s’assurer que des mesures en ce sens ont été prises. Dans ce contexte, le DPO doit vérifier l’information délivrée aux personnes concernées.

5 – Vérifier les modalités de participations éventuelles de sous-traitant(s)

Rappelons qu’il appartient au responsable du traitement, lorsqu’il fait appel à un sous-traitant, de vérifier que ce dernier présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).

Dans le cadre de ses missions, le DPO peut s’assurer de ces garanties en s’adressant à son homologue, lorsque le prestataire a désigné un DPO, ou en sollicitant des équipes métiers les éléments de nature à justifier de la maturité du prestataire notamment en :

> Demandant les justificatifs de certifications, d’adhésion à des codes de conduite ou encore en demandant les résultats d’un audit ad hoc sur pièces (fourniture de pièces telles que la politique de protection des données…).

> Analysant le contrat et plus particulièrement en vérifiant que le contrat contient une clause de protection des données efficace, définissant clairement les rôles et responsabilités de chacun ainsi que les instructions du responsable du traitement.

Auteur : Garance Mathias, Avocat à la Cour

Dossier publié dans Solutions Numériques N°18

Le DPO, maître d’œuvre du RGPD
Notez cet article

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Samsung, accusé de contredire ses engagements éthiques, répond "tolérance zéro"

    Le géant de l'électronique sud-coréen Samsung a affirmé jeudi 11 janvier appliquer une "tolérance zéro"…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "La méthode CRISP, une solution pour réussir vos projets Big Data", Alianor Sibai, mc2i Groupe

    Seuls 15% des projets Big Data atteindraient la phase d’industrialisation. Les raisons principales de cet échec…

    > En savoir plus...
Etudes/Enquêtes
  • Infographie - Les coûts des activités cybercriminelles de l'année et à venir

    Bitdefender a réalisé une infographie mettant en avant les coûts qu’ont générés les activités cybercriminelles,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
GlobalK_Lean_skycraper