Sous l’acronyme RGPD se cache la nouvelle réglementation européenne sur la protection des données à caractère personnel. Elle entre en vigueur en mai 2018 et de nombreuses mises en conformité s’imposent pour se mettre à niveau. LesJeudis vous disent tout sur ce qui va changer, et sur le nouveau chef d’orchestre de la sécurité des données : le DPO.
Les données constituent un enjeu économique majeur pour les entreprises, mais bien utiliser et protéger ces datas est tout aussi capital. Les condamnations récentes (dont les sanctions vont largement se durcir en 2018 : de 10 à 20 millions d’euros !) de géants comme Meetic ou Attractive World incitent à prendre le sujet avec le sérieux qu’il exige. Le compte à rebours avant l’application du règlement européen sur la protection des données personnelles (qui vise à harmoniser les pratiques des États membres et a été définitivement adopté en avril 2016) est enclenché. Les entreprises et administrations traitant des données sensibles à grande échelle ont jusqu’au 25 mai 2018 pour se mettre en conformité et se doter d’un Data Protection Officer (DPO, anciennement CIL). Ces experts désignés, recrutés ou délégués auront la lourde tâche de diffuser et faire régner la loi en la matière dans les entreprises dont ils sont chargés. Lesjeudis font le point avec vous sur tous ces changements et ce qu’ils impliquent pour vous.
Les changements attendus portent notamment sur le consentement des internautes, la nomination d’un DPO et sur ses responsabilités.
Consentement et preuves
En pratique, le règlement impose de rendre plus clair le consentement des internautes au traitement des données les concernant, par exemple au moyen d’une déclaration écrite ou par voie électronique (cocher une case). L’accord doit être “libre, spécifique, éclairé et univoque”. “Il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité, précise le règlement. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être capable de prouver ce consentement.
DPO ou délégué à la protection des données. Version évoluée et améliorée du Correspondant Informatique et Libertés, il devra être opérationnel lors de l’entrée en vigueur du RGPD en mai 2018 et sera en charge de la conformité de tous les traitements de données. Interne ou externe, il vous informe et vous conseille pour la mise en œuvre d’une politique générale de gouvernance de la donnée protectrice de la vie privée et du patrimoine informationnel du responsable de traitement. Les responsables de traitement des données et sous-traitants devront désigner un DPO qui peut être mutualisé.
Responsabilité : privacy by design.
Chaque acteur, y compris le sous-traitant, engage désormais sa responsabilité sur la protection des données. Il doit, comme les entreprises, pouvoir prouver à tout moment qu’il protège les données (chiffrement, pseudonymation, etc.), et s’assurer dès l’origine de la conformité des traitements qu’il compte mettre en œuvre. Le règlement impose également une collecte minimale (seules les données nécessaires à la finalité) et une conservation limitée des données. Un DPO doit être associé à chaque étape de mise en œuvre de ces mesures.
RGPD to do list !
– vérifier que votre entreprise est bien concernée par le RGPD
– si c’est le cas, analyser les données personnelles collectées, les processus de traitement et leurs usages, ainsi que les personnes qui en sont responsables.
– nommer ou déléguer un DPO externe et définir ses missions
– mettre en place dès que possible les nouveaux processus internes pour clarifier et sécuriser le traitement des données sensibles
– revoir enfin tous les contrats fournisseurs, les sous-traitants étant également concernés par le RGPD !
Recruter un DPO / devenir DPO
Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).
La personne qui a vocation à devenir délégué à la protection doit pouvoir exercer ses missions en toute indépendance. Il est en position stratégique dans la hiérarchie de l’entreprise, de manière à pouvoir diriger une équipe d’experts dans l’entreprise, et à pouvoir à tout instant rendre des comptes au niveau le plus élevé de l’organisme. Il est expert en matière de législations et pratiques en matière de protection des données. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre. Enfin, il est spécialiste du secteur d’activité qu’il supervise; connaît son organisation et ses besoins.
Il n’existe pas de profil type du délégué qui peut être une personne issue du domaine technique ou juridique, voire administratif.
Bien que le métier soit nouveau, il existe déjà d’excellentes formations pour devenir DPO. Vous avez le profil et ce métier vous intéresse ? La Cnil propose une liste d’organismes de formation labellisés. D’autre part, le Cnam propose un certificat de spécialisation Délégué à la protection des données (DPO/CIL), destiné aux auditeurs disposant de bonnes connaissances juridiques. Différentes universités (Assas, Paris 10 et l‘université de Franche-Comté par exemple) proposent également des formations spécialisées. Enfin, l’Isep propose également depuis 2014 un Master spécialisé Management et protection des données à caractère personnel, initialement destiné aux CIL et désormais adressé aux DPO.
Externaliser : l’exemple de Smart GDPR
Pour libérer les marques des contraintes du règlement général sur la protection des données, Smart GDPR (RGPD en Français) propose une solution “all inclusive”.
Créée par Benoit Guignard et Olivier Guillo en février 2017, la start-up se veut la “première plateforme mondiale de mise en conformité avec le GDPR et d’externalisation du rôle de Data Protection Officer”. La mise en conformité proposée par Smart GDPR est prévue en 3 étapes : un audit, gratuit, de la situation de l’entreprise par rapport à la protection des données ; la mise à disposition d’un Data Protection Officer (DPO) externalisé par abonnement, et le suivi du processus tout au long de la mission. La start-up offre également aux marques de les épauler dans la constitution du registre de traitement des données, mais aussi de couvrir le risque financier avec l’assurance DPO externe – les avocats de Smart GDPR sont assurés à hauteur de 3 millions d’euros de garantie pour toute faute de leur part. L’externalisation a cependant un coût : de 1 600 euros à 43 700 euros annuels (abonnement), selon le montant de l’assurance sélectionnée.
Pour aller plus loin
Le règlement est consultable dans son intégralité sur le site de la CNIL.
ESN Infolor : rencontre avec Benoît Théron, Business Manager