En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
GlobalK_GDPR _leaderboard

Le DPO, maître d’œuvre du RGPD

12/11/2017 | commentaires 0 commentaire |
Primobox_Demat RH_pave 2

 

 

Garance Mathias,
Avocat à la Cour

 

 

Juridique

Les 5 réflexes du DPO

L’entrée en application du règlement général n°2016/679 sur la protection des données à caractère personnel (RGPD) le 25 mai 2018 introduit un nouvel acteur, véritable clé de voûte de la conformité, le Délégué à la Protection des Données (Data Protection Officer – DPO). Garance Mathias, Avocat à la Cour, a dressé une liste recensant les 5 réflexes essentiels à adopter pour les futurs DPO.

 

Le DPO est un acteur indépendant qualifié, dont la désignation est obligatoire pour certains organismes. Indépendamment de cette obligation, tout acteur devrait s’interroger sur l’opportunité de désigner un DPO dans le cadre d’une stratégie de gouvernance en matière de protection des données. Dans le cadre de ses missions définies à l’article 39 du RGPD, le DPO doit veiller à la conformité du traitement mis en œuvre par le responsable du traitement ou le sous-traitant à la règlementation applicable à la protection des données à caractère personnel et notamment au RGPD. Ainsi, le DPO accompagne et guide les équipes métiers du responsable du traitement ou le sous-traitant au quotidien.

1– Vérifier le respect des principes fondamentaux

Le DPO doit s’assurer que le responsable du traitement ou le sous-traitant respecte les principes fondamentaux de la protection des données tant au stade de la définition du traitement, qu’au stade de sa mise en œuvre.

2 – Evaluer en priorité les mesures techniques et organisationnelles pour préserver l’intégrité et la confidentialité des données à caractère personnel

Dans ce cadre, le DPO est notamment amené à se demander :

> Quelles sont les mesures de sécurisation globale du système d’information mises en place ? Il peut s’agir par exemples de restrictions d’accès aux locaux, de pare-feu ou d’un verrouillage automatique des postes individuels.

> Quelles sont les mesures techniques et organisationnelles spécifiques mises en place ? Il peut notamment s’agir de chiffrement, traçabilité des accès logiques, pseudonymisation ou encore d’une clause de confidentialité renforcée pour les personnes accédant aux données à caractère personnel.

3 – Déterminer la nécessité de réaliser une analyse d’impact préalable

L’analyse d’impact préalable à la mise en œuvre du traitement des données à caractère personnel est une obligation à la charge du responsable du traitement, dans certains cas. Cependant, le DPO est tenu de conseiller et de contrôler le respect du RGPD sur ce point. A ce titre, il doit déterminer la nécessité pour le responsable du traitement de réaliser une analyse d’impact. Dans ce contexte, les questions suivantes peuvent se poser :

Le traitement figure-t-il sur l’une des deux listes recensant respectivement les traitements dispensés et les traitements obligatoirement soumis à une analyse d’impact ?

Si ce n’est pas le cas, le traitement présente-t-il des risques pour les droits et libertés des personnes concernées ? Le DPO doit notamment se référer aux critères définis par le G29 dans ses lignes directrices sur l’analyse d’impact du 4 avril 2017.

4 – Garantir le respect des droits des personnes concernées

Le DPO est le point de contact des personnes concernées. Afin que celles-ci puissent exercer leurs droits, le responsable du traitement doit s’assurer que des mesures en ce sens ont été prises. Dans ce contexte, le DPO doit vérifier l’information délivrée aux personnes concernées.

5 – Vérifier les modalités de participations éventuelles de sous-traitant(s)

Rappelons qu’il appartient au responsable du traitement, lorsqu’il fait appel à un sous-traitant, de vérifier que ce dernier présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).

Dans le cadre de ses missions, le DPO peut s’assurer de ces garanties en s’adressant à son homologue, lorsque le prestataire a désigné un DPO, ou en sollicitant des équipes métiers les éléments de nature à justifier de la maturité du prestataire notamment en :

> Demandant les justificatifs de certifications, d’adhésion à des codes de conduite ou encore en demandant les résultats d’un audit ad hoc sur pièces (fourniture de pièces telles que la politique de protection des données…).

> Analysant le contrat et plus particulièrement en vérifiant que le contrat contient une clause de protection des données efficace, définissant clairement les rôles et responsabilités de chacun ainsi que les instructions du responsable du traitement.

Auteur : Garance Mathias, Avocat à la Cour

Dossier publié dans Solutions Numériques N°18

Le DPO, maître d’œuvre du RGPD
Notez cet article

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - Comment les grands groupes doivent-ils se réinventer pour attirer les millenials ?

    "Il est grand temps de réinventer et de ré-enchanter le discours d'entreprise", soutient dans cette…

    > En savoir plus...
Etudes/Enquêtes
  • Secteur IT : une croissance annuelle de l'emploi de 5 % !

    Les entreprises de services du numérique (ESN), les éditeurs de logiciels et les sociétés de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
  • L’e-paiement, à l'heure de la convergence

    > Voir le livre
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
GlobalK_GDPR _skycraper