X

News Partenaire

Entreprises : protégez vos données avant d’en payer le prix fort !

Si personne ne peut contester l’importance des données pour le développement de l’entreprise, leur traitement et leur sauvegarde sont, dans bien des cas, effectués avec grande négligence. Une situation d’autant plus préoccupante que le nombre de données détenues par les entreprises ne cesse d’augmenter et que les attaques de pirates pour s’en emparer se multiplient, se faisant chaque fois plus violentes. Ransomwares, chevaux de Troie, Malwares sont autant de formes d’attaques qui peuvent porter préjudice à l’entreprise, paralyser ses activités et lui faire regretter de ne pas avoir mieux protégé ses données, une attitude désinvolte qui n’est pas sans conséquences.

Data Protection Officer : un gardien pour les données personnelles
Christophe Guillemin / dimanche 24 septembre 2017 / Thèmes: Dossier, RGPD

Data Protection Officer : un gardien pour les données personnelles

Les entités publiques comme les entreprises auront bientôt l’obligation de nommer un Data Protection Officer : un DPO, qui devra veiller au rigoureux respect de la nouvelle réglementation européenne vis-à-vis de la protection des données personnelles. Un poste technique, juridique et surtout très politique. Article paru dans le n°157 de L'Informaticien.

Le Règlement général sur la protection des données (RGPD), qui sera effectif le 25 mai 2018, rend obligatoire la nomination d’un Data Protection Officer (DPO) pour les entités publiques et certaines entreprises. « Ce délégué à la protection des données sera au cœur du nouveau cadre juridique européen », résume le groupe de travail G29, qui réunit les « Cnil européennes ». La nomination d’un DPO sera donc incontournable pour toutes les entités publiques du Vieux Continent, telles que les collectivités locales, les hôpitaux, les universités… Côté entreprises, le DPO sera obligatoire pour celles dont l’activité principale les amènent à réaliser à grande échelle un suivi régulier et systématique des personnes (profiling), ou de traiter des données «sensibles» – santé, opinions politiques ou religieuses, orientation sexuelle, etc. – ou des données relatives à des condamnations et infractions pénales.

Parmi les entreprises qui devraient être concernées par cette obligation : des sociétés d’e-commerce ou de marketing digital, des banques et assurances, des établissements de soins ou encore des entreprises du secteur des télécoms.

« Même lorsque le RGPD n’exige pas spécifiquement la nomination d’un DPO, les entreprises pourront parfois estimer utile d’en désigner un sur une base volontaire », poursuit le G29. Car en effet, le nouveau règlement européen renforce très sensiblement les responsabilités des entreprises en matière de protection des données personnelles et surtout les sanctions. En France, le plafond maximal des sanctions de la Cnil est déjà passé de 150000 euros à 3 millions d’euros avec la Loi pour une république numérique de 2016. Les amendes prévues par le RGPD peuvent quant à elles atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial. De quoi inciter de nombreuses entreprises à nommer un DPO pour s’assurer de leur conformité avec le nouveau règlement.

Une évolution du CIL

Quelles seront les missions du DPO ? La principale sera de veiller à l’intégrité et la protection des données personnelles de son organisation, tant sur le plan juridique que technique. Il sera également l’intermédiaire entre son organisation et l’autorité de contrôle, en France la Commission nationale de l’informatique et des libertés (Cnil). Ce poste est donc assez proche de celui de Correspondant informatique et libertés (CIL), déployé depuis 2005 dans des entreprises et les entités publiques françaises. « Les fonctions sont très similaires, mais le contexte est différent », résume Albine Vincent, chef du service des CIL à la Cnil. Même son de cloches à l’AFCDP (*), association française représentant les CIL. « Les fonctions d’un DPO sont à peu près les mêmes que celles d’un CIL, mais avec le niveau de sanctions prévues par le nouveau règlement, elles prennent une tout autre dimension », estime son délégué général Bruno Rasle.

D’ailleurs, sur les 4 800 CIL actuellement en poste, une grande majorité d’entre eux devraient devenir DPO d’ici à mai 2018. Cette évolution ne sera pas automatique, mais ce choix sera souvent le plus logique. « Si le CIL a donné satisfaction dans sa mission, il sera bien placé pour devenir DPO. Il devra bien entendu se former pour connaître parfaitement la nouvelle réglementation », poursuit Albine Vincent. Elle rappelle que la Cnil propose des ateliers d’information sur le sujet. Des formations longues existent aussi pour se former au poste de DPO, comme le Master CEID de Nanterre ou le mastère spécialisé de l’Institut supérieur d’électronique de Paris (Isep). « Ce sera de la responsabilité de l’entreprise ou de l’entité publique de choisir la personne qui sera en mesure d’occuper ce poste », poursuit Albine Vincent. « Dans le cadre de ses missions de contrôles, la Cnil pourra vérifier que le DPO est bien en mesure de réaliser sa mission et notamment qu’il n’y a pas de conflits d’intérêts avec d’autres fonctions éventuelles qu’il occupe. » Concrètement, la nomination du DPO devra être déclarée auprès de la Cnil, via un formulaire en ligne.

Déclarer un incident dans les 72 heures

Le premier travail d’un DPO sera d’établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique. Pour cela, le DPO devra se rapprocher des représentants des différentes instances de l’organisation pour rassembler les informations nécessaires. Une fois cette cartographie réalisée, le DPO analysera chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement. « Bien entendu, il devra se fixer des priorités et commencer par exemple par travailler sur les traitements les plus délicats », poursuit Bruno Rasle. Il s’agira notamment de vérifier les durées de conservation des données, en fonction de leur cadre légal, et si nécessaire de mettre en place des processus d’anonymisation ou même de suppression des données. Comme le CIL, le DPO devra ensuite tenir un registre dans lequel il référencera et détaillera les différents traitements des données à caractère personnel. « Pour tenir ce registre à jour, le DPO devra accompagner de nombreux projets de l’organisation pour s’assurer que la conformité est maintenue », précise l’AFCDP.

Parallèlement à ce travail réglementaire, le DPO participera à la gestion des éventuels incidents de sécurité survenant sur le SI. Le RGPD prévoit notamment l’obligation de déclarer une faille, entraînant une fuite ou un vol de données personnelles, auprès de l’autorité de contrôle dans les 72 heures suivant l’incident. Le DPO pourra accompagner son organisation dans cette déclaration. « Auparavant, le CIL n’avait pas l’obligation de déclarer une brèche dans le SI. Il pouvait simplement l’indiquer dans le registre. Cette nouvelle obligation sera une arme redoutable pour que le DPO soit entendu et compris dans son organisation », souligne Fortunato Guarino, CIL de l’éditeur Guidance Software et bientôt DPO (lire encadré ci-contre). Autre urgence que le DPO devra gérer : les demandes d’accès à ses données personnelles, formulées par exemple par un client. Cet accès est une obligation légale. La loi Informatique et Libertés laisse actuellement deux mois aux organisations pour répondre à ce type de demande. Avec le RGPD, ce délai est réduit à moins d’un mois.

Un profil juridique et informatique

Aujourd’hui, 47 % des CIL sont issus de l’IT et 19 % possèdent un profil plutôt juridique, selon les chiffres de la Cnil. Le reste est un panachage assez large, allant du documentaliste au responsable administratif. A priori, le poste de DPO devrait correspondre à ces mêmes profils. « Il y a cependant aujourd’hui une tendance à penser que le DPO devra surtout disposer d’un profil juridique. Mais c’est une erreur. Il faut préserver la richesse de profils qui a fait la force des CIL, et laisser notamment le poste de DPO ouvert à des informaticiens », souligne Bruno Rasle. Ayant un rôle éminemment transversal, le DPO doit être un « très bon communicant », indique-t-on à la Cnil. Outre la technique et le juridique, il doit également bien connaître les enjeux business, afin de ne pas se positionner comme un frein au développement de l’entreprise, mais davantage comme un garant du respect de la « privacy ». Un respect qui peut d’ailleurs être très positif en termes d’image de marque, indique l’AFCDP. Au final, il s’agit donc d’un poste très « politique », plutôt accessible aux collaborateurs expérimentés.

DSI et RSSI, partenaires incontournables du DPO

Sans surprise, le DPO devra bien entendu travailler en étroite collaboration avec le DSI et le RSSI. « Le DPO ne donnera pas d’ordres directs au DSI ou au RSSI, mais prodiguera plutôt des conseils sur la mise en conformité, en rappelant les obligations du nouveau règlement », précise Bruno Rasle. Si des points de frictions ne sont pas exclus, le DPO doit « apporter de la quiétude au DSI et au RSSI, en prenant à sa charge toute la problématique de la mise en conformité », estime pour sa part Fortunato Guarino. Dans la hiérarchie, le DPO reportera auprès du plus haut niveau de décision, le plus souvent la direction générale. Le RGPD stipule également qu’il doit pouvoir travailler en totale indépendance et ne pas subir de pressions, sans quoi l’entreprise ou l’entité publique est passible de sanctions.

Enfin, s’il n’existe pas encore de grille salariale établie pour le DPO, ses revenus devraient être au moins comparables à ceux du CIL, soit environ 50000 euros par an. La pénurie attendue de candidats au poste de DPO devrait même tirer les salaires vers haut. La Cnil prévoit que plus de 80000 organisations, publiques ou privés, devront se doter d’un DPO en France.


(*) AFCDP : Association française des correspondants à la protection des données à caractère personnel.

 


TÉMOIGNAGES

 

PATRICK BLUM : « JE SUIS ÉGALEMENT RSSI : DANS CERTAINS CAS IL N’Y A PAS DE CONFLIT D’INTÉRÊTS »

Informaticien de formation, Patrick Blum est CIL depuis neuf ans pour L’École supérieure des sciences économiques et commerciales (Essec). Il milite pour la création d’un futur poste de DPO au sein de cette école de commerce, qu’il compte occuper dans un premier temps. « J’ai 63 ans. Je pense installer les bases du poste, puis passer le flambeau », explique-t-il. Comme de nombreux CIL, il possède aujourd’hui une double casquette. « Je suis également RSSI. Mais dans mon cas, comme pour certains RSSI, il n’y a pas de conflit d’intérêts car je ne choisis pas les outils et ne gère pas leur utilisation. Je supervise les bonnes pratiques en matière de sécurité. Les conflits d’intérêts concernent plutôt des postes tels que DSI, DG ou directeur du Marketing, ou ceux qui mettent en œuvre des traitements portant sur des données personnelles.» Selon lui, le passage de CIL à DPO est marqué par une évolution de la technique vers la communication. « Je vais notamment travailler en plus étroite collaboration avec les chefs de projets afin de lancer systématiquement des Études d’impact sur la vie privée (EIVP) pour vérifier que les nouveaux projets sont en conformité avec le RGPD. »

 

LOUIS SIMON : « UN DPO NE PASSE PAS LA JOURNÉE DANS SON BUREAU »

Aujourd’hui DSI dans une entité publique, Louis Simon (pseudonyme) se forme pour devenir DPO dans une entreprise. « Je compte retourner dans le privé et me positionner, si possible, sur un poste de DPO d’un grand groupe international d’ici à deux ans », confie-t-il. Quinquagénaire, Louis Simon est DSI depuis une vingtaine d’années. « J’ai toujours été très sensible aux problématiques liées à la protection des données personnelles. Devenir DPO sera pour moi l’occasion d’être moins dans la technique et davantage dans le service, avec une dimension éthique qui m’intéresse fortement. » Pour cette évolution professionnelle, il compte bien entendu capitaliser sur son expérience de DSI. « Un DSI est bien armé pour devenir DPO car, en général, il est déjà au comité de direction et son poste est déjà très politique », poursuit-il. Selon lui, le DPO incarne un métier de contact. « Un DPO ne passe pas la journée dans son bureau. Je vais devoir assister à beaucoup de réunions, en commençant par de nombreux échanges avec la DSI afin d’établir la cartographie technique de l’usage des données. Ensuite je travaillerai régulièrement avec les référents des autres directions », conclut-il.

 

FORTUNATO GUARINO : « LE DPO NE DOIT PAS ÊTRE UN FREIN AU BUSINESS »

Expert en protection des données, Fortunato Guarino est devenu CIL il y a sept ans pour l’équipementier automobile Faurecia. Depuis 10 mois, il travaille pour l’éditeur américain Guidance Software, spécialisé dans les solutions d’investigation numérique. Nommé une nouvelle fois CIL en octobre 2016, il est devenu DPO en avril. « Guidance Software possède une présence internationale; un des défis de mon travail est donc de veiller à la conformité avec le RGPD en France, mais aussi dans les échanges que nous pouvons avoir avec l’étranger, et principalement les États-Unis », explique-t-il. « Par exemple je veille à ce que les données nominatives des comptes rendus commerciaux envoyés aux États-Unis soient bien anonymisées avant leur intégration dans Salesforce, en cas d’absence de consentement du client ou de non commande. » Pour ce consultant de 51 ans, le DPO ne doit pas s’opposer au business. « La privacy ne doit pas aller à l’encontre du business sinon l’espérance de vie du DPO sera limitée. » Il aborde donc ce poste avec beaucoup de diplomatie. « ll faut gagner la confiance de tout le monde et donc beaucoup communiquer. Un DPO qui reste dans son bureau n’a pas d’avenir! ».

Print
3719
Tags:RGPD

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire