X
Christophe Guillemin / dimanche 24 septembre 2017 / Thèmes: Dossier, RGPD

Data Protection Officer : un gardien pour les données personnelles

Les entités publiques comme les entreprises auront bientôt l’obligation de nommer un Data Protection Officer : un DPO, qui devra veiller au rigoureux respect de la nouvelle réglementation européenne vis-à-vis de la protection des données personnelles. Un poste technique, juridique et surtout très politique. Article paru dans le n°157 de L'Informaticien.

Le Règlement général sur la protection des données (RGPD), qui sera effectif le 25 mai 2018, rend obligatoire la nomination d’un Data Protection Officer (DPO) pour les entités publiques et certaines entreprises. « Ce délégué à la protection des données sera au cœur du nouveau cadre juridique européen », résume le groupe de travail G29, qui réunit les « Cnil européennes ». La nomination d’un DPO sera donc incontournable pour toutes les entités publiques du Vieux Continent, telles que les collectivités locales, les hôpitaux, les universités… Côté entreprises, le DPO sera obligatoire pour celles dont l’activité principale les amènent à réaliser à grande échelle un suivi régulier et systématique des personnes (profiling), ou de traiter des données «sensibles» – santé, opinions politiques ou religieuses, orientation sexuelle, etc. – ou des données relatives à des condamnations et infractions pénales.

Parmi les entreprises qui devraient être concernées par cette obligation : des sociétés d’e-commerce ou de marketing digital, des banques et assurances, des établissements de soins ou encore des entreprises du secteur des télécoms.

« Même lorsque le RGPD n’exige pas spécifiquement la nomination d’un DPO, les entreprises pourront parfois estimer utile d’en désigner un sur une base volontaire », poursuit le G29. Car en effet, le nouveau règlement européen renforce très sensiblement les responsabilités des entreprises en matière de protection des données personnelles et surtout les sanctions. En France, le plafond maximal des sanctions de la Cnil est déjà passé de 150000 euros à 3 millions d’euros avec la Loi pour une république numérique de 2016. Les amendes prévues par le RGPD peuvent quant à elles atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial. De quoi inciter de nombreuses entreprises à nommer un DPO pour s’assurer de leur conformité avec le nouveau règlement.

Une évolution du CIL

Quelles seront les missions du DPO ? La principale sera de veiller à l’intégrité et la protection des données personnelles de son organisation, tant sur le plan juridique que technique. Il sera également l’intermédiaire entre son organisation et l’autorité de contrôle, en France la Commission nationale de l’informatique et des libertés (Cnil). Ce poste est donc assez proche de celui de Correspondant informatique et libertés (CIL), déployé depuis 2005 dans des entreprises et les entités publiques françaises. « Les fonctions sont très similaires, mais le contexte est différent », résume Albine Vincent, chef du service des CIL à la Cnil. Même son de cloches à l’AFCDP (*), association française représentant les CIL. « Les fonctions d’un DPO sont à peu près les mêmes que celles d’un CIL, mais avec le niveau de sanctions prévues par le nouveau règlement, elles prennent une tout autre dimension », estime son délégué général Bruno Rasle.

D’ailleurs, sur les 4 800 CIL actuellement en poste, une grande majorité d’entre eux devraient devenir DPO d’ici à mai 2018. Cette évolution ne sera pas automatique, mais ce choix sera souvent le plus logique. « Si le CIL a donné satisfaction dans sa mission, il sera bien placé pour devenir DPO. Il devra bien entendu se former pour connaître parfaitement la nouvelle réglementation », poursuit Albine Vincent. Elle rappelle que la Cnil propose des ateliers d’information sur le sujet. Des formations longues existent aussi pour se former au poste de DPO, comme le Master CEID de Nanterre ou le mastère spécialisé de l’Institut supérieur d’électronique de Paris (Isep). « Ce sera de la responsabilité de l’entreprise ou de l’entité publique de choisir la personne qui sera en mesure d’occuper ce poste », poursuit Albine Vincent. « Dans le cadre de ses missions de contrôles, la Cnil pourra vérifier que le DPO est bien en mesure de réaliser sa mission et notamment qu’il n’y a pas de conflits d’intérêts avec d’autres fonctions éventuelles qu’il occupe. » Concrètement, la nomination du DPO devra être déclarée auprès de la Cnil, via un formulaire en ligne.

Déclarer un incident dans les 72 heures

Le premier travail d’un DPO sera d’établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique. Pour cela, le DPO devra se rapprocher des représentants des différentes instances de l’organisation pour rassembler les informations nécessaires. Une fois cette cartographie réalisée, le DPO analysera chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement. « Bien entendu, il devra se fixer des priorités et commencer par exemple par travailler sur les traitements les plus délicats », poursuit Bruno Rasle. Il s’agira notamment de vérifier les durées de conservation des données, en fonction de leur cadre légal, et si nécessaire de mettre en place des processus d’anonymisation ou même de suppression des données. Comme le CIL, le DPO devra ensuite tenir un registre dans lequel il référencera et détaillera les différents traitements des données à caractère personnel. « Pour tenir ce registre à jour, le DPO devra accompagner de nombreux projets de l’organisation pour s’assurer que la conformité est maintenue », précise l’AFCDP.

Parallèlement à ce travail réglementaire, le DPO participera à la gestion des éventuels incidents de sécurité survenant sur le SI. Le RGPD prévoit notamment l’obligation de déclarer une faille, entraînant une fuite ou un vol de données personnelles, auprès de l’autorité de contrôle dans les 72 heures suivant l’incident. Le DPO pourra accompagner son organisation dans cette déclaration. « Auparavant, le CIL n’avait pas l’obligation de déclarer une brèche dans le SI. Il pouvait simplement l’indiquer dans le registre. Cette nouvelle obligation sera une arme redoutable pour que le DPO soit entendu et compris dans son organisation », souligne Fortunato Guarino, CIL de l’éditeur Guidance Software et bientôt DPO (lire encadré ci-contre). Autre urgence que le DPO devra gérer : les demandes d’accès à ses données personnelles, formulées par exemple par un client. Cet accès est une obligation légale. La loi Informatique et Libertés laisse actuellement deux mois aux organisations pour répondre à ce type de demande. Avec le RGPD, ce délai est réduit à moins d’un mois.

Un profil juridique et informatique

Aujourd’hui, 47 % des CIL sont issus de l’IT et 19 % possèdent un profil plutôt juridique, selon les chiffres de la Cnil. Le reste est un panachage assez large, allant du documentaliste au responsable administratif. A priori, le poste de DPO devrait correspondre à ces mêmes profils. « Il y a cependant aujourd’hui une tendance à penser que le DPO devra surtout disposer d’un profil juridique. Mais c’est une erreur. Il faut préserver la richesse de profils qui a fait la force des CIL, et laisser notamment le poste de DPO ouvert à des informaticiens », souligne Bruno Rasle. Ayant un rôle éminemment transversal, le DPO doit être un « très bon communicant », indique-t-on à la Cnil. Outre la technique et le juridique, il doit également bien connaître les enjeux business, afin de ne pas se positionner comme un frein au développement de l’entreprise, mais davantage comme un garant du respect de la « privacy ». Un respect qui peut d’ailleurs être très positif en termes d’image de marque, indique l’AFCDP. Au final, il s’agit donc d’un poste très « politique », plutôt accessible aux collaborateurs expérimentés.

DSI et RSSI, partenaires incontournables du DPO

Sans surprise, le DPO devra bien entendu travailler en étroite collaboration avec le DSI et le RSSI. « Le DPO ne donnera pas d’ordres directs au DSI ou au RSSI, mais prodiguera plutôt des conseils sur la mise en conformité, en rappelant les obligations du nouveau règlement », précise Bruno Rasle. Si des points de frictions ne sont pas exclus, le DPO doit « apporter de la quiétude au DSI et au RSSI, en prenant à sa charge toute la problématique de la mise en conformité », estime pour sa part Fortunato Guarino. Dans la hiérarchie, le DPO reportera auprès du plus haut niveau de décision, le plus souvent la direction générale. Le RGPD stipule également qu’il doit pouvoir travailler en totale indépendance et ne pas subir de pressions, sans quoi l’entreprise ou l’entité publique est passible de sanctions.

Enfin, s’il n’existe pas encore de grille salariale établie pour le DPO, ses revenus devraient être au moins comparables à ceux du CIL, soit environ 50000 euros par an. La pénurie attendue de candidats au poste de DPO devrait même tirer les salaires vers haut. La Cnil prévoit que plus de 80000 organisations, publiques ou privés, devront se doter d’un DPO en France.


(*) AFCDP : Association française des correspondants à la protection des données à caractère personnel.

 


TÉMOIGNAGES

 

PATRICK BLUM : « JE SUIS ÉGALEMENT RSSI : DANS CERTAINS CAS IL N’Y A PAS DE CONFLIT D’INTÉRÊTS »

Informaticien de formation, Patrick Blum est CIL depuis neuf ans pour L’École supérieure des sciences économiques et commerciales (Essec). Il milite pour la création d’un futur poste de DPO au sein de cette école de commerce, qu’il compte occuper dans un premier temps. « J’ai 63 ans. Je pense installer les bases du poste, puis passer le flambeau », explique-t-il. Comme de nombreux CIL, il possède aujourd’hui une double casquette. « Je suis également RSSI. Mais dans mon cas, comme pour certains RSSI, il n’y a pas de conflit d’intérêts car je ne choisis pas les outils et ne gère pas leur utilisation. Je supervise les bonnes pratiques en matière de sécurité. Les conflits d’intérêts concernent plutôt des postes tels que DSI, DG ou directeur du Marketing, ou ceux qui mettent en œuvre des traitements portant sur des données personnelles.» Selon lui, le passage de CIL à DPO est marqué par une évolution de la technique vers la communication. « Je vais notamment travailler en plus étroite collaboration avec les chefs de projets afin de lancer systématiquement des Études d’impact sur la vie privée (EIVP) pour vérifier que les nouveaux projets sont en conformité avec le RGPD. »

 

LOUIS SIMON : « UN DPO NE PASSE PAS LA JOURNÉE DANS SON BUREAU »

Aujourd’hui DSI dans une entité publique, Louis Simon (pseudonyme) se forme pour devenir DPO dans une entreprise. « Je compte retourner dans le privé et me positionner, si possible, sur un poste de DPO d’un grand groupe international d’ici à deux ans », confie-t-il. Quinquagénaire, Louis Simon est DSI depuis une vingtaine d’années. « J’ai toujours été très sensible aux problématiques liées à la protection des données personnelles. Devenir DPO sera pour moi l’occasion d’être moins dans la technique et davantage dans le service, avec une dimension éthique qui m’intéresse fortement. » Pour cette évolution professionnelle, il compte bien entendu capitaliser sur son expérience de DSI. « Un DSI est bien armé pour devenir DPO car, en général, il est déjà au comité de direction et son poste est déjà très politique », poursuit-il. Selon lui, le DPO incarne un métier de contact. « Un DPO ne passe pas la journée dans son bureau. Je vais devoir assister à beaucoup de réunions, en commençant par de nombreux échanges avec la DSI afin d’établir la cartographie technique de l’usage des données. Ensuite je travaillerai régulièrement avec les référents des autres directions », conclut-il.

 

FORTUNATO GUARINO : « LE DPO NE DOIT PAS ÊTRE UN FREIN AU BUSINESS »

Expert en protection des données, Fortunato Guarino est devenu CIL il y a sept ans pour l’équipementier automobile Faurecia. Depuis 10 mois, il travaille pour l’éditeur américain Guidance Software, spécialisé dans les solutions d’investigation numérique. Nommé une nouvelle fois CIL en octobre 2016, il est devenu DPO en avril. « Guidance Software possède une présence internationale; un des défis de mon travail est donc de veiller à la conformité avec le RGPD en France, mais aussi dans les échanges que nous pouvons avoir avec l’étranger, et principalement les États-Unis », explique-t-il. « Par exemple je veille à ce que les données nominatives des comptes rendus commerciaux envoyés aux États-Unis soient bien anonymisées avant leur intégration dans Salesforce, en cas d’absence de consentement du client ou de non commande. » Pour ce consultant de 51 ans, le DPO ne doit pas s’opposer au business. « La privacy ne doit pas aller à l’encontre du business sinon l’espérance de vie du DPO sera limitée. » Il aborde donc ce poste avec beaucoup de diplomatie. « ll faut gagner la confiance de tout le monde et donc beaucoup communiquer. Un DPO qui reste dans son bureau n’a pas d’avenir! ».

8912
Tags:RGPD

x
Rechercher dans les dossiers
Les derniers dossiers...
Réduire

Actuellement à la Une...
Déployés à prix d’or dans les années 1990/2000, les grands ERP semblaient un îlot de stabilité dans des systèmes d’information bousculés par la transformation digitale. Pourtant, la migration vers le Cloud semble inéluctable. Les éditeurs sont prêts, les DSI aussi. Il reste sans doute à convaincre les directions générales. Article paru dans L'Informaticien n°179.

Le géant du CDN a fait son entrée sur le NYSE vendredi, un mois et demi après avoir déposé son formulaire auprès de la SEC. Le titre a gagné 20% à l’ouverture, permettant à l’entreprise de lever 525 millions de dollars et d’être valorisée 4,4 milliards de dollars.

L’éditeur lance deux nouveaux Cloud à destination des secteurs de l’industrie et de la distribution. Les deux solutions s’appuient sur Einstein, la solution d’intelligence artificielle de l’éditeur, dans le but d’optimiser les processus de ces deux secteurs.

Bob Iger, le patron de Disney, quitte le conseil d’administration d’Apple où il occupait un siège depuis 2011. La rupture entre les deux géants semble désormais consommée sur fond de guerre de la VOD, alors qu’Apple et Disney lanceront en novembre deux services concurrents.

Le spécialiste de l’archivage sur bande ou disque lance un nouveau logiciel de gestion des données inactives pour automatiser la rétention des données sur des durées longues.

IBM rafraîchit la gamme de son serveur historique avec le z15 conçu pour les environnements hybrides nécessitant de hautes performances dans un contexte sécurisé.

La plateforme collaborative proposera d’ici à la fin de l’année à ses clients entreprises de choisir dans quelle région AWS stocker leurs données au repos, à commencer par Francfort. Il s’agit selon Slack de répondre aux préoccupations réglementaires de ses utilisateurs.

Le classement 2019 IEEE Spectrum confirme la suprématie du roi Python. Ce langage né à la fin des 1980 est celui choisi souvent pour enseigner les rudiments de la programmation comme pour développer les projets d'IA.

L’éditeur de solutions de gestion des ressources humaines et de gestion d’entreprise finalise l’acquisition d’un de ses homologues espagnols, Meta4.

Après l’engouement rencontré par les projets de développements de Blockchain en 2017, notamment sur Ethereum, où en est la technologie aujourd’hui ? Quels projets ont débouché sur des applications réelles et avec quels langages ? C’est ce que nous allons voir dans cet article. Article paru dans L'Informaticien n°179.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs