comment être un bon data protection officer, acteur clé de la protection des données

PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL

PLAN DE PRÉSENTATION

DPO Comment être un bon Data Protection Officer, acteur clé de la protection des données ?

1. L’arrivée du DPO

• « DPO wanted » : quel profil ?

• Désignation du DPO

• Statut et moyens du DPO

2. Les missions du DPO

• Missions légales

• Missions concrètes

3. Le départ du DPO : intouchable ?

AVANT DE COMMENCER | Définitions clés

� Donnée à caractère personnel (DCP)Toute information permettant d’identifier directement ouindirectement une personne physique (nom, coordonnées, n° decontrat, plaque d’immatriculation,…).

� Traitement de DCPToute opération effectuée sur des DCP (consultation, collecte,modification, suppression,…).

� Responsable de traitement (RT)Entreprise / organisme / autorité / personne physiqueprofessionnelle qui détermine les finalités (le pourquoi) et lesmoyens (le comment) du traitement.

� Sous-traitant (ST) :Entreprise / organisme / autorité / personne physiqueprofessionnelle qui traite des DCP pour le compte du RT.

� Loi 78 et RGPD imprécis• Loi 78 : qualifications requises pour exercer ses missions ;• RGPD : profil adapté à la sensibilité, à la complexité et à la quantité de

données qu’un organisme traite.

� Doctrine CNIL et G29• Compétences variées et adaptées à l’entreprise ;• Profil juridique + informatique + nouvelles technologies + domaine

d’activité du responsable de traitement ;• Haut niveau d’intégrité et d’éthique professionnelle ;• Aptitude à communiquer efficacement et à exercer ses fonctions et

missions en toute indépendance.

L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?

=PAS DEPROFILTYPE

GESTIONNAIREDE PROJETS

TOUCHE À TOUT

L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?

Différences entre CIL et DPO

CIL peut avoir le profil ≠ DPO doit avoir le profil

DPO doit se former continuellement

DPO = désignation étendue uniquement

� Place centrale du DPO dans le RGPD• La désignation d’un DPO est un moyen d’attester de la conformité d’un

organisme au RGPD (considérant 77) ;• Le principe devient la désignation d’un DPO (article 37).

� 3 cas de désignation obligatoire• Le RT est une autorité ou un organisme public ;• Les activités de base du RT le conduisent à réaliser un suivi régulier et

systématique des personnes à grande échelle ;• Les activités de base du RT le conduisent à traiter à grande échelle des

données dites « particulières » ou relatives à des condamnations pénales et infractions.

L’ARRIVEE DU DPO | Désignation du DPO

Houston, we have a problem!Activité de base ? Suivi régulier ? Grande échelle ? ...

Le G29 à la rescousse du RGPDGuidelines DPO adoptées 05.04.17 : goo.gl/2CjmZM

• « Autorité publique ou organisme public » : • Autorités nationales, régionales et locales ;• + Définition législation nationale applicable ;• ≠ Personnes physiques ou morales relevant du droit privé exerçant une mission

ou autorité publique.• « Activités de base » :

• Les principales activités nécessaires pour atteindre les objectifs du responsable de traitement ou du sous-traitant ;

• + Activités où le traitement des données constitue une partie inextricable de l’activité du responsable de traitement ou du sous-traitant. Exemple : hôpital = prodigue des soins + traitement incontournable de dossiers médicaux.

• Traitement « à grande échelle » : faisceau d’indices• Le nombre de personnes concernées - soit en tant que nombre spécifique, soit

en proportion de la population concernée ; • Le volume de données et/ou le périmètre des différents éléments de données en

cours de traitement ; • La durée, ou la permanence, de l’activité de traitement de données ; • L’étendue géographique de l’activité de traitement.

L’ARRIVEE DU DPO | Désignation du DPO

Le G29 à la rescousse du RGPD

• « Suivi régulier et systématique » : • Toutes les formes de suivi et de profilage sur Internet, y compris aux fins de la

publicité comportementale ;• Récurrent ou répété à des moments fixes ; constant ou se déroulant

périodiquement ≠ one shot = idée d’automatisation.

� Exemples dans lesquels un DPO sera obligatoire :• Opérateur téléphonique ;• Banque / Assurance ;• Régie de transport public ;• Editeur d’applications mobiles grand public avec géolocalisation obligatoire ;• Toutes les grandes enseignes proposant des programmes fidélité ;• Enseignes nationales dans la domotique ;• Agence publicitaire web (si grande échelle) ;• Sous-traitant gestionnaire du plan de formation pour une entreprise

internationale ;• Gestionnaire de pilulier électronique (si à grande échelle) ;• …

L’ARRIVEE DU DPO | Désignation du DPO

� Similitudes CIL et DPO• Indépendance : rattachement Direction + liberté organisationnelle et

décisionnelle ;• Absence de conflits d’intérêts : ne pas être juge et partie ;• Pas un salarié protégé : mais protégé des sanctions de l’employeur motivées

par l’exercice de sa mission par le CIL/DPO (sauf faute) ;• Aucun risque de « sanction CNIL » : seul le RT doit assumer, sauf complicité.

� Différences CIL et DPO• « Fourniture d’éléments » v.s. « ressources nécessaires » ;• DPO = secret professionnel ou obligation de confidentialité.

L’ARRIVEE DU DPO | Statut et moyens du DPO

� Missions légales• CIL = tient le registre + veille au respect de la loi de 78 via information,

consultation, recommandations, gestion des droits des personnes ;• DPO = informer, conseiller, contrôler, coopérer => il ne fait rien directement.

Il coordonne la conformité au RGPD. Remember : gestionnaire de projetstouche à tout

� Missions concrètesVoir webinar programme conformité RGPD : goo.gl/ok382t

� Le DPO est désigné : lettre mission et engagement confidentialité signés ;1. Faire une première évaluation macroscopique de la conformité de

l’entreprise ;2. Négocier les ressources avec la Direction (temps, budget, outils,…) ;3. Mettre en place son pilotage ;4. Acter auprès des IRP et du personnel (voire partenaires et ST) ;5. Identifier les relais et les former ;6. Sensibiliser l’ensemble du personnel.

LES MISSIONS DU DPO

� Missions concrètes

7. Mettre en place l’« environnement RGPD » avec des process ;8. Créer ou mettre à jour les outils de travail du DPO (cartographies des

applications, des traitements, des flux de données, des sites internet,…) ;9. Auditer et dresser liste des écarts + plan d’actions (avec priorisation) ;10. Faire arbitrer et acter le plan d’actions par la Direction ;11. Diffuser, suivre et accompagner la mise en œuvre du plan d’actions ;12. Piloter le registre des traitements ;13. Faire un bilan de son action en fin d’exercice ;14. Voir 1.

LES MISSIONS DU DPO

� Départ du CIL• Volontaire ou « positif » : notification de la CNIL• Pour manquement par le RT : respect « droit de la défense » + avis CNIL ;• Pour manquement par la CNIL : respect « droit de la défense » ;� + Désignation d’un nouveau CIL ou non.

� Départ du DPOCe qui est interditCe qui est autorisé

= Attente loi « Informatique et Libertés v3 » / Probablement très proche CIL

LE DEPART DU DPO | Intouchable ?

hank

http://www.oxalia-technology.com/data-protection

www.linkedin.com/in/andreamartelletti/

amartelletti@oxalia-technology.com

www.twitter.com/oxaliadata

Oxalia Technology Data Protection ou!