Quantcast

Du CIL au DPO : Comment anticiper le règlement européen sur les données personnelles au sein des administrations ?

14 nov. 2017, PAR
  • 04
    MIN
2018: Un délai de mise en conformité extrêmement court.

Le nouveau règlement européen sur la protection des données à caractère personnel, le « General Data Protection Regulation (GDPR) », a été adopté par le parlement européen le 14 avril 2016 après quatre années de négociations législatives, et sera directement applicable à partir du 24 mai 2018. Cette réforme de la protection des données poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcée.

Cette évolution réglementaire est un véritable changement de paradigme : le modèle actuel est basé sur la déclaration évolue vers une obligation de prouver la conformité du traitement des données à caractère personnel au regard du règlement. Dans cet environnement fortement remanié, un nouvel acteur clé émerge: le DPO. Sa mise en place dans les délais impartis constitue une échéance extrêmement courte compte tenu des travaux à réaliser d‘ici là.

 

Le DPO : le nouvel homme fort en matière de protection de données à caractère personnel. 

Une donnée à caractère personnel (DCP) constitue toute information relative à une personne physique identifiée ou pouvant être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres

Avec l’application du règlement européen concernant la protection des données, le Correspondant Informatique et Libertés (CIL) va devenir le Délégué de protection des données (DPO, équivalent de Data Protection Officer). Plus qu’un changement d’habillage, cette évolution marque un étape importante dans la stratégie de protection des données personnelles. Au regard des critères du GDPR, le DPO sera de facto obligatoire dans chaque administration, il sera bien plus qu’une fonction, un métier à part entière.

Il aura une responsabilité accrue et devra être impliqué dans tous les aspects de la conformité de traitement de données à caractère personnel dès son élaboration : gestion des droits des personnes, définition des mécanismes de vérification de la conformité, audits, vérification de l’adéquation des mesures de sécurité, vérification de la bonne réalisation de l’analyse d’impact maintien de la documentation, etc.

Pour répondre à ces nouvelles exigences, le DPO doit être positionné dans l’organigramme de sorte qu’il aura accès à toute information et pouvoir communiquer avec toute personne, quelque soit sa hiérarchie, afin de pouvoir être en mesure d’exercer sa mission de façon effective et indépendante.

Les compétences requises pour remplir pleinement le rôle de DPO supposent de solides base juridiques, une expertises IT, une vision de la stratégie, la maitrise des processus métiers et de la gestion de crise.

Pour anticiper cette évolution, les CIL qui le souhaitent et qui répondent aux nouvelles exigences pourront être confirmés dans leur fonction en tant que DPO.

Il s’agit là de capitaliser sur les travaux déjà réalisés, en permettant à l’organisme de mieux se préparer au nouveau cadre juridique, et au futur DPO de s’appuyer sur l’expérience pratique nécessaire.

 

Pour être pertinente, l’organisation de la gestion des données personnelles devra concilier plusieurs critères. Le DPO devra :

•Être en capacité d’imposer la loi et de remonter l’importance des sujets de données personnelles au top management
•Éviter d’être en position de conflits d’intérêt et d’agir indépendamment des personnes qui définissent les traitements
•Être en mesure de comprendre la législation et ses principes clés
•Identifier les nouveaux cas et anticiper les non conformités au plus vite
•Comprendre les caractéristiques clés des activités du groupe pour pouvoir adapter ses actions.
 
 

Contact: Thomas Gaillard, Senior Manager - thomas.gaillard@wavestone.com - +33 (0)6 61 48 05 78

 

Acteurs Publics