Délégué à la protection des données : les hauts pouvoirs s'accompagnent de grandes responsabilités

Délégué à la protection des données : les hauts pouvoirs s'accompagnent de grandes responsabilités

Le règlement général sur la protection des données (RGPD) entrera en vigueur dans un peu moins d'un an. Les entreprises s'acheminent donc peu à peu vers la conformité. Certaines d'entre elles doivent nommer un délégué à la protection des données (DPD).

 

Le RGPD a vu le jour il y a relativement peu de temps et ne prendra pas effet avant le 25 mai 2018, mais il a déjà connu une quantité de changements. Les concepts de sanction pour violation de données, de notification de sécurité et de consentement relatif aux données personnelles ont tous été ajustés, à mesure que les législateurs européens approuvaient le règlement. Un autre changement essentiel concerne la nomination obligatoire d'un délégué à la protection des données.

À l'origine, le RGPD stipulait que toutes les entreprises de plus de 250 employés seraient tenues d'engager un DPD. Toutefois, cette exigence n'apparaît plus dans la dernière version du règlement.  Désormais, beaucoup moins d'entreprises doivent engager un DPD. La section 37 (1) du règlement spécifie qu'il s'agit essentiellement d'administrations publiques ou de sociétés qui traitent des « catégories spéciales de données ».

Toutefois, les experts estiment qu'en engageant un DPD, les autres entreprises peuvent aussi améliorer leur approche du RGPD. En effet, le RGPD a un impact sur toute entreprise qui traite des données personnelles pour les citoyens de l'Union européenne. Peut-être est-il donc temps de s'y intéresser de près.

Daniel Hedley, associé senior chez Irwin Mitchell LLP, explique : « La plupart des entreprises ne seront pas directement obligées de nommer un DPD. Stricto sensu, cette exigence du RGPD concerne uniquement les administrations publiques, ainsi que les entreprises qui se consacrent au suivi systématique des personnes à grande échelle ou au traitement à grande échelle de catégories spéciales de données, comme les casiers judiciaires ou les renseignements médicaux. »

Qui a besoin d'un DPD ?

Les administrations publiques (soins de santé, enseignement, services de secours et organismes publics) ont l'obligation de nommer un DPD dédié, avec les responsabilités et les fonctions définies dans le nouveau règlement. Il est probable que les mêmes dispositions s'appliquent aux entreprises privées qui exercent des fonctions publiques ou assurent des services publics (distribution d'eau, transports publics, énergie et logement, par exemple).

Quant aux entreprises privées dont l'activité principale concerne le suivi systématique ou le traitement de données à grande échelle, il s'agit de publicité comportementale, de suivi en ligne, de vidéosurveillance et même de gestion des programmes de fidélisation. Notons également que la définition s'applique aux pratiques et processus numériques et hors ligne. Le DPD doit bien les connaître.

Daniel Hedley ajoute : « Le RGPD est un projet de loi complexe. Il introduit beaucoup de changements importants qui placent les données au premier plan des efforts de conformité.

« Par conséquent, dans toute entreprise, une personne devra en assumer la responsabilité de toute façon et, d'après mon expérience, les équipes informatiques et juridiques internes sont déjà tellement surchargées qu'elles auront bien du mal à gérer ce travail supplémentaire sans aide extérieure. »

Peter Gooch, partenaire pour les services de gestion des risques de cybersécurité chez Deloitte UK, ajoute : « Les entreprises doivent trouver les moyens de gérer la confidentialité et la protection des données de manière plus proactive. Si la plupart des entreprises sont désormais tenues d'incorporer un DPD, la personne nommée n'a pas besoin de se dédier exclusivement à cette fonction et peut même être extérieure à l'entreprise. »

Il poursuit : « Les entreprises doivent s'efforcer d'assumer les responsabilités imposées par le RGPD plus globalement, via un réseau d'experts en matière de protection des renseignements personnels, une équipe centrale ou même des prestataires externes. L'important, c'est que la ressource disponible possède les compétences appropriées, selon le profil de risque des traitements effectués par l'entreprise. »

Conformité et formation

Lorsque la nomination d'un DPD est obligatoire, il s'agit d'un rôle différent des autres fonctions informatiques et orientées informations, telles que celles de directeur des systèmes d'information ou de directeur informatique (qui sont axées sur la stratégie technologique et d'entreprise), celle de responsable de la sécurité informatique (dont la compétence est axée sur la sécurité), ou encore celle de directeur des données (également axée sur la technologie).

Le DPD, quant à lui, intervient dans l'ensemble des services de l'entreprise. Il informe les employés qu'ils sont tenus de respecter le RGPD et les autres lois de protection des données. Également chargé de veiller au respect de la conformité, il dispense des formations et réalise des audits internes. Enfin, il fournit des conseils en matière d'analyse d'impact des risques pour la protection des données.

Notez que les DPD seront appelés à se mettre à la disposition des organismes régulateurs pour répondre à toute requête concernant la protection des données, ce qui peut aller de la révocation de consentement au droit à l'oubli (le nom officiel du « droit à l'oubli » est « droit à l'effacement »Ed).

Si l'entreprise est une entité responsable du traitement des données, le DPS est également chargé de signaler toute violation de sécurité à l'organisme régulateur dans les 72 heures qui suivent sa découverte, ou de fournir une « justification raisonnée » en cas de délai, ainsi que d'informer les clients affectés (également appelés les « personnes concernées ») s'il y a lieu. Le sous-traitant des données doit informer le responsable du traitement des données.

Dans la notification, le DPD doit « au moins » décrire la nature de la violation de données personnelles, indiquer les conséquences probables de l'incident et expliquer comment le responsable du traitement propose de le résoudre.

Responsabilités multiples

Experte en sécurité numérique et consultante indépendante, Neira Jones note que le DPD a de multiples responsabilités.

Elle explique : « Le DPD est responsable de l'application des politiques, de l'attribution des responsabilités, des audits et de la formation du personnel, ainsi que d'assurer la liaison avec les autorités compétentes. Il doit avoir de bonnes connaissances en matière de sécurité des informations, de cybersécurité, de confidentialité et de protection des données, et concernant les lois en vigueur. » Cela comprend le RGPD, le DPA (Data Protection Act), la protection de la vie privée dans le secteur des communications électroniques, la sécurité des réseaux et des systèmes d'information, le bouclier de protection des données UE-États-Unis, ainsi que les directives DSP2/LBC pour les services financiers, affirme Neira Jones.

Elle ajoute : « Les DPD doivent bien connaître la chaîne logistique de leur secteur et le droit des contrats. Ils doivent aussi faire preuve de compétences exceptionnelles en communication et en négociation. Autrement dit, ils doivent être des super héros. Qui voudrait d'un tel poste ? Sérieusement, l'Union européenne va avoir besoin de 28 000 DPD pour répondre aux exigences du règlement. Il y a donc là une énorme opportunité. »

En réalité, les DPD bénéficient d'une position privilégiée et d'avantages majeurs. Par exemple, ils sont nommés pour au moins quatre ans (deux ans dans le cas d'un prestataire). Une indépendance non négligeable leur est expressément accordée dans leur rôle. Ils peuvent aussi réaliser d'autres tâches et fonctions, dans la mesure où ils ne provoquent pas de conflits d'intérêts.

En outre, ils doivent être en contact avec les hauts dirigeants de l'entreprise et disposer de ressources d'entreprise adéquates pour pouvoir respecter leurs obligations vis-à-vis du RGPD et assurer la formation continue. Ils doivent être autorisés à travailler indépendamment de toute instruction, et ne peuvent pas être licenciés ni démis de leurs fonctions pour un motif lié à leur rôle.

Avantages économiques du DPD

Outre les obligations, nommer et soutenir un DPD apporte des avantages à l'entreprise, note Daniel Hedley d'Irwin Mitchell LLP. « La fonction principale du DPD de l'entreprise est d'être son expert interne en droits concernant les données, ainsi que le premier point de contact avec les personnes concernées par ces données et avec les organismes régulateurs. Quelles que soient la taille et la complexité de l'entreprise, si son activité est axée sur les technologies ou sur les données, le fait d'avoir un DPD nommé s'avèrera donc avantageux, je crois, non seulement pour ses efforts de conformité interne, mais également pour montrer à sa clientèle qu'elle prend la conformité au sérieux », commente-t-il.

Elliott Haworth, éditorialiste économique chez City AM, spécialiste du RGPD, ajoute : « Avoir quelqu'un au conseil d'administration qui comprend les aspects techniques du règlement (qu'est-ce qu'une meilleure pratique, comment réagir en cas de violation, comment répondre aux demandes d'accès soumises par les personnes concernées) ne pourra être qu'un avantage lorsque le RGPD entrera en vigueur l'année prochaine. »

Par ailleurs, le DPD sera bien placé pour aider l'entreprise à explorer et évaluer les nouvelles opportunités commerciales reposant sur les ressources de données. Par exemple, il pourra identifier de nouvelles sources de revenus, ou encore aider les services cloisonnés de l'entreprise à partager les données de façon mutuellement bénéfique.

Ainsi, certaines entreprises se voient obligées de nommer un DPD, tandis que d'autres auraient intérêt à en nommer un, pour pouvoir en tirer profit à l'approche de la date d'entrée en vigueur du RGPD.

Délégué à la protection des données Propriété des données Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond