La loi informatique et libertés (2004) et le règlement européen à la protection des données (RGPD 2018) ont favorisé l’essor d’un nouveau métier. Il s’agit du Data Protector Officer (DPO) ou Délégué à la Protection des Données (DPD). Ce dernier est employé dans les entreprises et a pour rôle de sécuriser les données personnelles (stockage, réception, conservation, etc.) de l’entreprise. Un métier qui trouve tout son sens dans un contexte ou la data est devenue un véritable enjeu pour les entreprises et que le RGPD tient à assurer une meilleure protection de la vie privée des citoyens.
Guide complet sur la mise en conformité au RGPD
La période de tolérance accordée par la CNIL, aux structures, pour effectuer les démarches de mise en conformité au RGPD touche à sa fin. Celles-ci se déroulent essentiellement en 6 étapes.
Cartographier les traitements
Cartographier les traitements revient à dénombrer la totalité des données personnelles gérées par l’entreprise. Cette opération est le point de départ qui permet à l’entreprise d’avoir une vue d’ensemble des opérations de traitement de données réalisées. Cela permet également aux collaborateurs d’avoir une meilleure compréhension des données en question et de leur provenance.
La cartographie est la première étape du plan d’action de mise en conformité au RGPD. Elle est efficace pour mesurer le niveau de conformité au RGPD grâce aux informations inscrites dans le registre des traitements. Elle permet un meilleur suivi de la conformité et doit reprendre au minimum, les données se trouvant dans le registre des traitements. Il s’agit principalement de la finalité du traitement, des personnes concernées par les données, des destinataires des données, des catégories de données, des mesures de sécurité appliquées au traitement, etc.
Déterminer la finalité des traitements
Cette phase est non seulement essentielle, mais elle est également imposée par le RGPD. Elle permet de comprendre les raisons de la collecte des données. Par exemple, la collecte des informations des prospects à travers les formulaires d’un site internet a une double finalité : la prospection commerciale et la prise de contact en vue de réaliser une vente.
Il est de ce fait interdit d’utiliser les données à des fins autres que celles initialement prévues. Les finalités doivent également faire l’objet d’une déclaration dans le registre des traitements. Les personnes concernées doivent en être informées. Les données personnelles ne doivent pas être conservées plus longtemps qu’il n’e le faut.
Informer les clients et les collaborateurs
Toutes les personnes dont les données personnelles ont été collectées et qui font l’objet d’un traitement doivent être informées. Le responsable chargé du traitement est tenu de fournir des informations obligatoires sur les manipulations et les droits des intéressés concernant ces données.
Archivage des données pendant la durée légale
La Loi informatique et Libertés et le RGPD s’accordent pour limiter la durée de conservation des données personnelles pendant une période donnée. Ces deux dispositifs précisent que la durée de conservation doit être proportionnelle à la finalité du traitement. Il faut distinguer trois types d’archivage des données personnelles : l’archivage courant, l’archivage intermédiaire et l’archivage définitif.
Obtenir le consentement du RGPD
Le RGPD exige que les personnes concernées par le traitement des données donnent leur approbation au préalable. Cet accord autorise donc l’entreprise à utiliser les données aux fins prévues. Elles peuvent être recueillies de plusieurs manières : signature manuscrite, case à cocher, formulaire, abonnement à la newsletter, etc.
Sécuriser les données
Il est impératif de mettre en place des techniques et des pratiques visant à garantir la sécurité des données personnelles. Des mesures spécifiques peuvent être envisagées selon le niveau de risque dans certains cas. Trois types de risques sont à prendre en considération : l’accès illégitime aux données, la modification non désirée des données et la disparition des données.
Obligation de désigner un Data Protection Officer (DPO)
C’est une obligation pour toute structure de désigner un DPO lorsqu’elle collecte et manipule des données. Cette obligation s’applique aux organismes publics et aux autorités publiques exception faite des tribunaux. Elle est également applicable aux entreprises privées pour lesquelles la collecte des données est indispensable à la poursuite des activités. Il s’agit surtout des entreprises qui traitent des données personnelles à une très grande échelle.
La désignation d’un DPO a pour objectif de réussir le projet de mise en conformité au RGPD. La présence de ce professionnel est également un signe de sérieux, de professionnalisme et d’engagement. Cette fonction est essentielle et également recommandée pour tout organisme qui traite des données. Le DPO leur permet en effet de s’assurer qu’ils sont en conformité avec la réglementation en vigueur concernant le cadre de la protection des données personnelles et de la vie privée.
Quelles sont les missions du DPO ?
Le Data Protector Officer a pour principale mission de veiller à ce que l’entreprise soit en règle vis-à-vis de la législation en matière de stockage et de l’utilisation des données personnelles. Il doit également produire la documentation nécessaire qui permet à la structure de se justifier. Si la CNIL lui impose une obligation de moyen, il a aussi une obligation de résultat, car il est le garant de l’application de la RGPD. Pour ce faire, il accompagne l’entreprise à mieux gérer les changements impliqués par l’utilisation de la data. Il doit également contrôler la mise en application du règlement et du droit national sur la protection des données personnelles. Il s’agit principalement du respect des droits des personnes concernées.
Dans l’exercice de ses fonctions, le DPO peut également proposer à l’entreprise, la mise en œuvre d’une analyse de l’impact de la protection des données et s’assurer de l’exécution de l’analyse en question. En outre, ce professionnel doit se tenir à la disposition des personnes concernées afin de répondre à leurs préoccupations. Il peut aussi être amené à coopérer avec l’autorité de contrôle locale. En collaboration avec le responsable de traitement et les sous-traitants, il a aussi la tâche de tenir à jour le registre des traitements de son employeur.
À noter également qu’il est de son devoir d’accompagner la structure qui l’emploie dans sa procédure de mise en conformité et au maintien de celle-ci. Par conséquent, il doit aider l’organisme dans la cartographie des traitements. Il doit également hiérarchiser les actions à entreprendre dans le cadre de la protection des données en tenant compte du contexte et des risques liés. Enfin, il est chargé de mettre en place des procédures internes afin d’optimiser la gestion des données personnelles.
