comment être un bon data protection officer, acteur clé de la protection des données
TRANSCRIPT
PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL
PLAN DE PRÉSENTATION
DPO Comment être un bon Data Protection Officer, acteur clé de la protection des données ?
1. L’arrivée du DPO
• « DPO wanted » : quel profil ?
• Désignation du DPO
• Statut et moyens du DPO
2. Les missions du DPO
• Missions légales
• Missions concrètes
3. Le départ du DPO : intouchable ?
AVANT DE COMMENCER | Définitions clés
� Donnée à caractère personnel (DCP)Toute information permettant d’identifier directement ouindirectement une personne physique (nom, coordonnées, n° decontrat, plaque d’immatriculation,…).
� Traitement de DCPToute opération effectuée sur des DCP (consultation, collecte,modification, suppression,…).
� Responsable de traitement (RT)Entreprise / organisme / autorité / personne physiqueprofessionnelle qui détermine les finalités (le pourquoi) et lesmoyens (le comment) du traitement.
� Sous-traitant (ST) :Entreprise / organisme / autorité / personne physiqueprofessionnelle qui traite des DCP pour le compte du RT.
� Loi 78 et RGPD imprécis• Loi 78 : qualifications requises pour exercer ses missions ;• RGPD : profil adapté à la sensibilité, à la complexité et à la quantité de
données qu’un organisme traite.
� Doctrine CNIL et G29• Compétences variées et adaptées à l’entreprise ;• Profil juridique + informatique + nouvelles technologies + domaine
d’activité du responsable de traitement ;• Haut niveau d’intégrité et d’éthique professionnelle ;• Aptitude à communiquer efficacement et à exercer ses fonctions et
missions en toute indépendance.
L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
=PAS DEPROFILTYPE
GESTIONNAIREDE PROJETS
TOUCHE À TOUT
L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
Différences entre CIL et DPO
CIL peut avoir le profil ≠ DPO doit avoir le profil
DPO doit se former continuellement
DPO = désignation étendue uniquement
� Place centrale du DPO dans le RGPD• La désignation d’un DPO est un moyen d’attester de la conformité d’un
organisme au RGPD (considérant 77) ;• Le principe devient la désignation d’un DPO (article 37).
� 3 cas de désignation obligatoire• Le RT est une autorité ou un organisme public ;• Les activités de base du RT le conduisent à réaliser un suivi régulier et
systématique des personnes à grande échelle ;• Les activités de base du RT le conduisent à traiter à grande échelle des
données dites « particulières » ou relatives à des condamnations pénales et infractions.
L’ARRIVEE DU DPO | Désignation du DPO
Houston, we have a problem!Activité de base ? Suivi régulier ? Grande échelle ? ...
Le G29 à la rescousse du RGPDGuidelines DPO adoptées 05.04.17 : goo.gl/2CjmZM
• « Autorité publique ou organisme public » : • Autorités nationales, régionales et locales ;• + Définition législation nationale applicable ;• ≠ Personnes physiques ou morales relevant du droit privé exerçant une mission
ou autorité publique.• « Activités de base » :
• Les principales activités nécessaires pour atteindre les objectifs du responsable de traitement ou du sous-traitant ;
• + Activités où le traitement des données constitue une partie inextricable de l’activité du responsable de traitement ou du sous-traitant. Exemple : hôpital = prodigue des soins + traitement incontournable de dossiers médicaux.
• Traitement « à grande échelle » : faisceau d’indices• Le nombre de personnes concernées - soit en tant que nombre spécifique, soit
en proportion de la population concernée ; • Le volume de données et/ou le périmètre des différents éléments de données en
cours de traitement ; • La durée, ou la permanence, de l’activité de traitement de données ; • L’étendue géographique de l’activité de traitement.
L’ARRIVEE DU DPO | Désignation du DPO
Le G29 à la rescousse du RGPD
• « Suivi régulier et systématique » : • Toutes les formes de suivi et de profilage sur Internet, y compris aux fins de la
publicité comportementale ;• Récurrent ou répété à des moments fixes ; constant ou se déroulant
périodiquement ≠ one shot = idée d’automatisation.
� Exemples dans lesquels un DPO sera obligatoire :• Opérateur téléphonique ;• Banque / Assurance ;• Régie de transport public ;• Editeur d’applications mobiles grand public avec géolocalisation obligatoire ;• Toutes les grandes enseignes proposant des programmes fidélité ;• Enseignes nationales dans la domotique ;• Agence publicitaire web (si grande échelle) ;• Sous-traitant gestionnaire du plan de formation pour une entreprise
internationale ;• Gestionnaire de pilulier électronique (si à grande échelle) ;• …
L’ARRIVEE DU DPO | Désignation du DPO
� Similitudes CIL et DPO• Indépendance : rattachement Direction + liberté organisationnelle et
décisionnelle ;• Absence de conflits d’intérêts : ne pas être juge et partie ;• Pas un salarié protégé : mais protégé des sanctions de l’employeur motivées
par l’exercice de sa mission par le CIL/DPO (sauf faute) ;• Aucun risque de « sanction CNIL » : seul le RT doit assumer, sauf complicité.
� Différences CIL et DPO• « Fourniture d’éléments » v.s. « ressources nécessaires » ;• DPO = secret professionnel ou obligation de confidentialité.
L’ARRIVEE DU DPO | Statut et moyens du DPO
� Missions légales• CIL = tient le registre + veille au respect de la loi de 78 via information,
consultation, recommandations, gestion des droits des personnes ;• DPO = informer, conseiller, contrôler, coopérer => il ne fait rien directement.
Il coordonne la conformité au RGPD. Remember : gestionnaire de projetstouche à tout
� Missions concrètesVoir webinar programme conformité RGPD : goo.gl/ok382t
� Le DPO est désigné : lettre mission et engagement confidentialité signés ;1. Faire une première évaluation macroscopique de la conformité de
l’entreprise ;2. Négocier les ressources avec la Direction (temps, budget, outils,…) ;3. Mettre en place son pilotage ;4. Acter auprès des IRP et du personnel (voire partenaires et ST) ;5. Identifier les relais et les former ;6. Sensibiliser l’ensemble du personnel.
LES MISSIONS DU DPO
� Missions concrètes
7. Mettre en place l’« environnement RGPD » avec des process ;8. Créer ou mettre à jour les outils de travail du DPO (cartographies des
applications, des traitements, des flux de données, des sites internet,…) ;9. Auditer et dresser liste des écarts + plan d’actions (avec priorisation) ;10. Faire arbitrer et acter le plan d’actions par la Direction ;11. Diffuser, suivre et accompagner la mise en œuvre du plan d’actions ;12. Piloter le registre des traitements ;13. Faire un bilan de son action en fin d’exercice ;14. Voir 1.
LES MISSIONS DU DPO
� Départ du CIL• Volontaire ou « positif » : notification de la CNIL• Pour manquement par le RT : respect « droit de la défense » + avis CNIL ;• Pour manquement par la CNIL : respect « droit de la défense » ;� + Désignation d’un nouveau CIL ou non.
� Départ du DPOCe qui est interditCe qui est autorisé
= Attente loi « Informatique et Libertés v3 » / Probablement très proche CIL
LE DEPART DU DPO | Intouchable ?
hank
http://www.oxalia-technology.com/data-protection
www.linkedin.com/in/andreamartelletti/
www.twitter.com/oxaliadata
Oxalia Technology Data Protection ou!