En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de prêt-à-porter féminin
    < 3 000 €
    > En savoir plus
  • Graphiste/infographiste pour la création de personnages en 2D
    < 6 000 €
    > En savoir plus
  • Création d'un site vitrine internet pour une société de conseil
    A déterminer €
    > En savoir plus
ITrust_SOC_leaderboard

Tout savoir sur les missions du futur Délégué à la protection des données (DPO)

GlobalK_Azure _pave

Le 17 mars dernier, HSC by Deloitte, cabinet de conseil en sécurité informatique membre du réseau Deloitte, et le cabinet d’avocats Taj ont organisé dans leurs locaux de Neuilly-sur-Seine un petit-déjeuner sur le thème « Anticiper le règlement européen : le délégué à la protection des données (DPO) ». En voici la synthèse.

Parmi les évolutions prévues du nouveau règlement européen sur les traitements de données à caractère personnel, dont l’adoption devrait en principe intervenir au printemps 2016, le « délégué à la protection des données » (DPO ou data protection officer) vient prendre la suite du « détaché à la protection des données à caractère personnel » (transposé en France sous la forme du correspondant informatique et libertés). Il revêt un intérêt majeur pour les entreprises et le marché de la protection des données, puisque d’une fonction l’on pourrait rapidement passer à une véritable profession, exerçable tant en interne qu’en externe. Hervé Schauer, associé Deloitte et directeur général d’HSC by Deloitte, Pascal Seguin, associé Taj, et Frédéric Connes, senior manager et directeur juridique d’HSC by Deloitte, ont fait le point.

Un renforcement sensible des missions

Le DPO prend la suite du correspondant informatique et libertés, avec néanmoins un renforcement sensible de ses missions. La première d’entre elles consiste toujours à veiller au respect des exigences juridiques en matière de protection des données personnelles. Cependant, au-delà des missions d’information, de sensibilisation et de conseil, qui sont désormais explicitement prévues, le DPO devra, en pratique, veiller à la réalisation des analyses d’impact sur la vie privée (PIA – privacy impact assessment), à l’intégration de la protection des données personnelles dès la phase projet (privacy by design), à la tenue et à la centralisation de la documentation et des preuves, et à la gestion des violations de données personnelles. Il devra être informé de tout projet impliquant des données personnelles.

Pour mener efficacement ses missions, le DPO devra disposer de moyens importants, tant en termes de ressources que de temps consacré à l’étude des projets impliquant des données personnelles. La proportion de DPO à temps plein devrait ainsi naturellement augmenter. Le DPO disposera également d’un droit d’accès direct aux données, contrairement au CIL. En contrepartie, il sera explicitement soumis au secret professionnel.

Le DPO pourra être désigné par un responsable de traitement, mais aussi par un sous-traitant, ce qui constitue une nouveauté par rapport à la situation actuelle. Le DPO d’un sous-traitant devra veiller à ce que ce dernier respecte les engagements contractuels liés aux données personnelles.

Un DPO interne ou externe

Le DPO pourra être interne ou externe. En interne, son positionnement sera central, puisqu’il devra être rattaché directement au niveau le plus élevé du responsable du traitement ou du sous-traitant. Il pourra, comme le CIL, être mutualisé. En externe, la limite actuelle des 50 personnes disparaîtra, ce qui signifie que le recours à des prestataires devrait se développer, et sans doute conduire à terme à une véritable professionnalisation des DPO. L’évaluation de leurs compétences professionnelles sera alors déterminante pour leurs clients, en raison de l’impact potentiel de l’action du DPO sur l’image de l’organisme.

Le DPO sera le point de contact, tant des personnes concernées que de la CNIL. En revanche, il ne sera soumis à aucune obligation de signaler les manquements à cette dernière. Il ne sera donc pas une sorte de « commissaire aux données », même si son statut sera relativement protecteur, notamment en termes d’indépendance.

Se préparer à la mise en place du DPO 

Tout d’abord, il importe de déterminer si la désignation d’un DPO sera obligatoire ou pas au sein de l’organisme. Sa désignation sera en effet impérative dans trois cas : l’organisme relève du secteur public ; son activité principale implique un suivi régulier et systématique à grande échelle de personnes concernées ; il réalise un traitement à grande échelle de données sensibles ou judiciaires.

Dans l’hypothèse d’un DPO obligatoire, il peut être judicieux, si ce n’est déjà fait, de désigner dès à présent un CIL au sein de l’organisme, afin qu’il acquière l’expérience nécessaire pour mener à bien ses futures missions. L’intérêt de recourir à un prestataire spécialisé, en externe, peut également être étudié dès aujourd’hui.

Si les CIL actuels sont évidemment bien placés pour devenir DPO, aucune évolution automatique n’est actuellement prévue. L’AFCDP, l’Association Française des Correspondants à la protection des Données à caractère Personnel, souhaite cependant la mise en place d’une « clause du grand-père », qui permettrait aux CIL répondant aux conditions, et le désirant, de devenir DPO. Pour autant, il n’est pas certain qu’une telle automaticité soit souhaitable, dans la mesure où les missions et la responsabilité du DPO seront bien supérieures à ce qu’elles sont qu’aujourd’hui.

Ensuite, le DPO devra justifier de « connaissances spécialisées de la législation et des pratiques en matière de protection des données », et de sa capacité à accomplir ses missions. Ces connaissances seront nécessairement transverses, mêlant à la fois des composantes juridiques, techniques et organisationnelles, sans négliger les compétences métier. Les qualités de communication, la capacité à négocier et une excellente connaissance de l’organisme, de son fonctionnement et de ses spécificités constitueront évidemment des atouts indéniables. Tant les futurs DPO que les organismes qui les désigneront ont donc intérêt à ce que des validations de connaissances et de savoir-faire se développent, et ceci dès maintenant.

Enfin, les organismes et les futurs DPO devraient profiter des deux années qui nous séparent de l’entrée en application du règlement pour étudier les outils documentaires pouvant apporter une véritable aide au DPO, et également pour se doter des méthodes et procédures qui seront nécessaires, notamment en matière d’analyses d’impact et de notification des violations de données personnelles. Un renforcement des outils de veille pourrait également être envisagé si les outils actuels n’apparaissent pas suffisants au regard des futures responsabilités du DPO.

 

Auteur : Juliette Paoli

Tout savoir sur les missions du futur Délégué à la protection des données (DPO)
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • Huawei Connect 2017

    Huawei Connect 2017 Démonstration de force d’un géant encore méconnu ! Huawei Connect 2017, Shanghai.…

  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Universign_maitrisez risques signature elec_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Le paiement en 2050 et au-delà

    > Voir le livre
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
GlobalK_Azure _Skycraper