X
Data Protection Officer : un gardien pour les données personnelles
Christophe Guillemin / dimanche 24 septembre 2017 / Thèmes: Dossier, RGPD

Data Protection Officer : un gardien pour les données personnelles

Les entités publiques comme les entreprises auront bientôt l’obligation de nommer un Data Protection Officer : un DPO, qui devra veiller au rigoureux respect de la nouvelle réglementation européenne vis-à-vis de la protection des données personnelles. Un poste technique, juridique et surtout très politique. Article paru dans le n°157 de L'Informaticien.

Le Règlement général sur la protection des données (RGPD), qui sera effectif le 25 mai 2018, rend obligatoire la nomination d’un Data Protection Officer (DPO) pour les entités publiques et certaines entreprises. « Ce délégué à la protection des données sera au cœur du nouveau cadre juridique européen », résume le groupe de travail G29, qui réunit les « Cnil européennes ». La nomination d’un DPO sera donc incontournable pour toutes les entités publiques du Vieux Continent, telles que les collectivités locales, les hôpitaux, les universités… Côté entreprises, le DPO sera obligatoire pour celles dont l’activité principale les amènent à réaliser à grande échelle un suivi régulier et systématique des personnes (profiling), ou de traiter des données «sensibles» – santé, opinions politiques ou religieuses, orientation sexuelle, etc. – ou des données relatives à des condamnations et infractions pénales.

Parmi les entreprises qui devraient être concernées par cette obligation : des sociétés d’e-commerce ou de marketing digital, des banques et assurances, des établissements de soins ou encore des entreprises du secteur des télécoms.

« Même lorsque le RGPD n’exige pas spécifiquement la nomination d’un DPO, les entreprises pourront parfois estimer utile d’en désigner un sur une base volontaire », poursuit le G29. Car en effet, le nouveau règlement européen renforce très sensiblement les responsabilités des entreprises en matière de protection des données personnelles et surtout les sanctions. En France, le plafond maximal des sanctions de la Cnil est déjà passé de 150000 euros à 3 millions d’euros avec la Loi pour une république numérique de 2016. Les amendes prévues par le RGPD peuvent quant à elles atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial. De quoi inciter de nombreuses entreprises à nommer un DPO pour s’assurer de leur conformité avec le nouveau règlement.

Une évolution du CIL

Quelles seront les missions du DPO ? La principale sera de veiller à l’intégrité et la protection des données personnelles de son organisation, tant sur le plan juridique que technique. Il sera également l’intermédiaire entre son organisation et l’autorité de contrôle, en France la Commission nationale de l’informatique et des libertés (Cnil). Ce poste est donc assez proche de celui de Correspondant informatique et libertés (CIL), déployé depuis 2005 dans des entreprises et les entités publiques françaises. « Les fonctions sont très similaires, mais le contexte est différent », résume Albine Vincent, chef du service des CIL à la Cnil. Même son de cloches à l’AFCDP (*), association française représentant les CIL. « Les fonctions d’un DPO sont à peu près les mêmes que celles d’un CIL, mais avec le niveau de sanctions prévues par le nouveau règlement, elles prennent une tout autre dimension », estime son délégué général Bruno Rasle.

D’ailleurs, sur les 4 800 CIL actuellement en poste, une grande majorité d’entre eux devraient devenir DPO d’ici à mai 2018. Cette évolution ne sera pas automatique, mais ce choix sera souvent le plus logique. « Si le CIL a donné satisfaction dans sa mission, il sera bien placé pour devenir DPO. Il devra bien entendu se former pour connaître parfaitement la nouvelle réglementation », poursuit Albine Vincent. Elle rappelle que la Cnil propose des ateliers d’information sur le sujet. Des formations longues existent aussi pour se former au poste de DPO, comme le Master CEID de Nanterre ou le mastère spécialisé de l’Institut supérieur d’électronique de Paris (Isep). « Ce sera de la responsabilité de l’entreprise ou de l’entité publique de choisir la personne qui sera en mesure d’occuper ce poste », poursuit Albine Vincent. « Dans le cadre de ses missions de contrôles, la Cnil pourra vérifier que le DPO est bien en mesure de réaliser sa mission et notamment qu’il n’y a pas de conflits d’intérêts avec d’autres fonctions éventuelles qu’il occupe. » Concrètement, la nomination du DPO devra être déclarée auprès de la Cnil, via un formulaire en ligne.

Déclarer un incident dans les 72 heures

Le premier travail d’un DPO sera d’établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique. Pour cela, le DPO devra se rapprocher des représentants des différentes instances de l’organisation pour rassembler les informations nécessaires. Une fois cette cartographie réalisée, le DPO analysera chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement. « Bien entendu, il devra se fixer des priorités et commencer par exemple par travailler sur les traitements les plus délicats », poursuit Bruno Rasle. Il s’agira notamment de vérifier les durées de conservation des données, en fonction de leur cadre légal, et si nécessaire de mettre en place des processus d’anonymisation ou même de suppression des données. Comme le CIL, le DPO devra ensuite tenir un registre dans lequel il référencera et détaillera les différents traitements des données à caractère personnel. « Pour tenir ce registre à jour, le DPO devra accompagner de nombreux projets de l’organisation pour s’assurer que la conformité est maintenue », précise l’AFCDP.

Parallèlement à ce travail réglementaire, le DPO participera à la gestion des éventuels incidents de sécurité survenant sur le SI. Le RGPD prévoit notamment l’obligation de déclarer une faille, entraînant une fuite ou un vol de données personnelles, auprès de l’autorité de contrôle dans les 72 heures suivant l’incident. Le DPO pourra accompagner son organisation dans cette déclaration. « Auparavant, le CIL n’avait pas l’obligation de déclarer une brèche dans le SI. Il pouvait simplement l’indiquer dans le registre. Cette nouvelle obligation sera une arme redoutable pour que le DPO soit entendu et compris dans son organisation », souligne Fortunato Guarino, CIL de l’éditeur Guidance Software et bientôt DPO (lire encadré ci-contre). Autre urgence que le DPO devra gérer : les demandes d’accès à ses données personnelles, formulées par exemple par un client. Cet accès est une obligation légale. La loi Informatique et Libertés laisse actuellement deux mois aux organisations pour répondre à ce type de demande. Avec le RGPD, ce délai est réduit à moins d’un mois.

Un profil juridique et informatique

Aujourd’hui, 47 % des CIL sont issus de l’IT et 19 % possèdent un profil plutôt juridique, selon les chiffres de la Cnil. Le reste est un panachage assez large, allant du documentaliste au responsable administratif. A priori, le poste de DPO devrait correspondre à ces mêmes profils. « Il y a cependant aujourd’hui une tendance à penser que le DPO devra surtout disposer d’un profil juridique. Mais c’est une erreur. Il faut préserver la richesse de profils qui a fait la force des CIL, et laisser notamment le poste de DPO ouvert à des informaticiens », souligne Bruno Rasle. Ayant un rôle éminemment transversal, le DPO doit être un « très bon communicant », indique-t-on à la Cnil. Outre la technique et le juridique, il doit également bien connaître les enjeux business, afin de ne pas se positionner comme un frein au développement de l’entreprise, mais davantage comme un garant du respect de la « privacy ». Un respect qui peut d’ailleurs être très positif en termes d’image de marque, indique l’AFCDP. Au final, il s’agit donc d’un poste très « politique », plutôt accessible aux collaborateurs expérimentés.

DSI et RSSI, partenaires incontournables du DPO

Sans surprise, le DPO devra bien entendu travailler en étroite collaboration avec le DSI et le RSSI. « Le DPO ne donnera pas d’ordres directs au DSI ou au RSSI, mais prodiguera plutôt des conseils sur la mise en conformité, en rappelant les obligations du nouveau règlement », précise Bruno Rasle. Si des points de frictions ne sont pas exclus, le DPO doit « apporter de la quiétude au DSI et au RSSI, en prenant à sa charge toute la problématique de la mise en conformité », estime pour sa part Fortunato Guarino. Dans la hiérarchie, le DPO reportera auprès du plus haut niveau de décision, le plus souvent la direction générale. Le RGPD stipule également qu’il doit pouvoir travailler en totale indépendance et ne pas subir de pressions, sans quoi l’entreprise ou l’entité publique est passible de sanctions.

Enfin, s’il n’existe pas encore de grille salariale établie pour le DPO, ses revenus devraient être au moins comparables à ceux du CIL, soit environ 50000 euros par an. La pénurie attendue de candidats au poste de DPO devrait même tirer les salaires vers haut. La Cnil prévoit que plus de 80000 organisations, publiques ou privés, devront se doter d’un DPO en France.


(*) AFCDP : Association française des correspondants à la protection des données à caractère personnel.

 


TÉMOIGNAGES

 

PATRICK BLUM : « JE SUIS ÉGALEMENT RSSI : DANS CERTAINS CAS IL N’Y A PAS DE CONFLIT D’INTÉRÊTS »

Informaticien de formation, Patrick Blum est CIL depuis neuf ans pour L’École supérieure des sciences économiques et commerciales (Essec). Il milite pour la création d’un futur poste de DPO au sein de cette école de commerce, qu’il compte occuper dans un premier temps. « J’ai 63 ans. Je pense installer les bases du poste, puis passer le flambeau », explique-t-il. Comme de nombreux CIL, il possède aujourd’hui une double casquette. « Je suis également RSSI. Mais dans mon cas, comme pour certains RSSI, il n’y a pas de conflit d’intérêts car je ne choisis pas les outils et ne gère pas leur utilisation. Je supervise les bonnes pratiques en matière de sécurité. Les conflits d’intérêts concernent plutôt des postes tels que DSI, DG ou directeur du Marketing, ou ceux qui mettent en œuvre des traitements portant sur des données personnelles.» Selon lui, le passage de CIL à DPO est marqué par une évolution de la technique vers la communication. « Je vais notamment travailler en plus étroite collaboration avec les chefs de projets afin de lancer systématiquement des Études d’impact sur la vie privée (EIVP) pour vérifier que les nouveaux projets sont en conformité avec le RGPD. »

 

LOUIS SIMON : « UN DPO NE PASSE PAS LA JOURNÉE DANS SON BUREAU »

Aujourd’hui DSI dans une entité publique, Louis Simon (pseudonyme) se forme pour devenir DPO dans une entreprise. « Je compte retourner dans le privé et me positionner, si possible, sur un poste de DPO d’un grand groupe international d’ici à deux ans », confie-t-il. Quinquagénaire, Louis Simon est DSI depuis une vingtaine d’années. « J’ai toujours été très sensible aux problématiques liées à la protection des données personnelles. Devenir DPO sera pour moi l’occasion d’être moins dans la technique et davantage dans le service, avec une dimension éthique qui m’intéresse fortement. » Pour cette évolution professionnelle, il compte bien entendu capitaliser sur son expérience de DSI. « Un DSI est bien armé pour devenir DPO car, en général, il est déjà au comité de direction et son poste est déjà très politique », poursuit-il. Selon lui, le DPO incarne un métier de contact. « Un DPO ne passe pas la journée dans son bureau. Je vais devoir assister à beaucoup de réunions, en commençant par de nombreux échanges avec la DSI afin d’établir la cartographie technique de l’usage des données. Ensuite je travaillerai régulièrement avec les référents des autres directions », conclut-il.

 

FORTUNATO GUARINO : « LE DPO NE DOIT PAS ÊTRE UN FREIN AU BUSINESS »

Expert en protection des données, Fortunato Guarino est devenu CIL il y a sept ans pour l’équipementier automobile Faurecia. Depuis 10 mois, il travaille pour l’éditeur américain Guidance Software, spécialisé dans les solutions d’investigation numérique. Nommé une nouvelle fois CIL en octobre 2016, il est devenu DPO en avril. « Guidance Software possède une présence internationale; un des défis de mon travail est donc de veiller à la conformité avec le RGPD en France, mais aussi dans les échanges que nous pouvons avoir avec l’étranger, et principalement les États-Unis », explique-t-il. « Par exemple je veille à ce que les données nominatives des comptes rendus commerciaux envoyés aux États-Unis soient bien anonymisées avant leur intégration dans Salesforce, en cas d’absence de consentement du client ou de non commande. » Pour ce consultant de 51 ans, le DPO ne doit pas s’opposer au business. « La privacy ne doit pas aller à l’encontre du business sinon l’espérance de vie du DPO sera limitée. » Il aborde donc ce poste avec beaucoup de diplomatie. « ll faut gagner la confiance de tout le monde et donc beaucoup communiquer. Un DPO qui reste dans son bureau n’a pas d’avenir! ».

Print
3420
Tags:RGPD

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
Le projet de Laurent Chemla pointe le bout de son nez. Caliopen, agrégateur de messagerie décentralisé et sensible aux questions de vie privée et de confidentialité est passé en version alpha fin octobre et connaît cette semaine sa première mise à jour.

Le OnePlus5 est à peine installé dans les rayons des magasins de téléphonie mobile que le constructeur chinois annonce la commercialisation d’un nouveau modèle pour le 21 novembre. Et force est de constater que le 5T est une copie quasi-conforme, avec le côté « borderless » à la mode en plus.

L’ensemble de failles découvertes dans le protocole Bluetooth affecte très largement l’IoT. Parmi les objets vulnérables, les enceintes connectées. Lesquelles ne permettent pas de désactiver le Bluetooth. Google et Amazon ont réagi en patchant leurs Home et Echo.

Depuis quelques années l’éditeur a mis en place le programme Accelerator qui met en valeur des projets innovants venant d’idées internes. FreshTracks est le dernier projet entrant dans ce programme qui regroupe désormais 10 startup.

A en croire les dépêches et la presse asiatique hier, c’était quasiment joué : Toshiba était entré en négociations avec Asus afin de lui vendre sa branche PC. S’il est tout à fait exact que le constructeur japonais cherche effectivement à vendre ses ordinateurs, il dément aujourd’hui être en discussion avec qui que ce soit.

Tournée vers la technique, la 2ème journée de la conférence CA World’17 a eu pour point d’orgue les annonces produits soit une vingtaine au total. L’analytique est un point commun à tous ces nouveaux produits.

Les nouvelles règles européennes en matière d’e-commerce et de protection des consommateurs inquiètent. En effet, les autorités nationales de protection des consommateurs pourront exiger des FAI le blocage d’un site, sans le garde-fou d’une décision judiciaire.

Un article de L’Usine Nouvelle épingle l’École 42, dont le comportement de certains étudiants à l’égard de leurs camarades féminines est pour le moins déplorable. Mais il ne faut pas pour autant s’imaginer que seule 42 est touchée : le sexisme concerne la filière toute entière.

Le service de cartographie va voir son design évoluer dans les prochaines semaines. Maps affichera alors des informations plus pertinentes, plus visibles : l’objectif est d’améliorer la lisibilité des cartes.

Ils arrivent ! Les PC Windows 10 ARM doivent officiellement débarquer avant le 31 décembre. Mais, depuis l’annonce de Qualcomm en mai, c’est silence radio du côté des constructeurs. Sauf HP, qui laisse fuiter un code produit et une ébauche de configuration.

Toutes les News

LIVRES BLANCS

CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.



Les tendances du stockage de données en France face au digital,
un Livre Blanc HPE.

La transformation digitale s’opère dans tous les secteurs d’activités et à tous les niveaux des entreprises et des organisations. Les données collectées, traitées et échangées croissent en volume comme en valeur et deviennent de facto un véritable enjeu stratégique. 


Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Tous les Livres Blancs