Data Protection Officer : l'incontournable pilote du RGPD
Avec le développement des services Cloud, quels outils faut-il mettre en place pour aborder sereinement l'entrée en vigueur du règlement européen général sur la protection des données ou RGPD (GDPR en anglais) ?
L'entrée en vigueur est prévue officiellement le 25 mai 2018. Il est temps de se préparer en vue d'une mise en conformité.
« Le premier outil est la nomination d'un délégué à la protection des données [DPO pour Data Protection Officer en anglais, ndlr], c'est le pilote de l'avion qui va animer le RSSI, les directions métiers et l'audit », souligne Anthony Coquer.
L'adjoint au directeur Sûreté Groupe chez Keolis (et administrateur de l'Association des Data Protection Officers), intervenait ce mercredi 15 novembre sur une table ronde consacrée au RGPD organisée lors de Cloud Expo Paris.
Un sujet des plus brûlants : dans à peine 6 mois, le nouveau règlement européen imposera à toutes les entreprises en Europe de renforcer la protection des données personnelles en regard du consentement de leurs propriétaires.
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
La GED au service du RGPD
En renforçant la protection des utilisateurs en Europe, le règlement pourrait constituer une opportunité de développement pour les entreprises de l'économie numérique européenne. Néanmoins, il n'est pas simple à appliquer.
Surtout pour les organisations de taille modeste qui, contrairement aux grands comptes, ne disposent pas nécessairement des moyens humains et techniques pour se mettre en conformité.
Pour ce profil d'entreprise, Anthony Coquer conseille l'usage du deuxième outil, à savoir la gestion électronique de documents (GED). « Elle permet de retrouver les documents instantanément. » Un service considérable en cas de contrôle de conformité.
Mais surtout, face à la notion d'analyse d'impact sur la vie, du « privacy by design » et de l'information aux personnes (notion de notification), « chaque brique doit parler avec les autres ». Le fait « d'Avoir une version uniforme de la notion de traitement est important ».
Lire aussi : Paul-Olivier Gibert, président de l’AFCDP : « Les DPO seront prompts à s’adapter à l’AI Act »
D'autant que la responsabilité de la protection de la donnée ne s'arrête pas à l'entreprise qui exploite les données privées. La responsabilité des prestataires qui les traitent est également engagée.
Une obligation de résultats (et ça change tout)
Avec le RGPD, « on revisite la notion de responsable conjoint de traitement », souligne Eric Caprioli, avocat à la Cour de Paris et vice-président du CESIN (Club des Experts de la sécurité de l'Information et du Numérique).
Selon lui, « il est important de prévoir un encadrement contractuel car les sanctions pourront se répercuter sur les sous-traitants [car] si le prestataire ne nomme pas de DPO, le client pourra engager sa responsabilité ».
Et de rappeler que « avec le RGPD, on passe d'une obligation de moyens à une obligation de résultats ». Toute fuite ou perte de données impose leur notification auprès des instances concernées comme des utilisateurs. Notification qui devra se faire dans les 72 heures suivant la découverte de l'incident.
En résumé, « la sécurisation des données est au coeur de la problématique ».
Une problématique incontournable qui impose la désignation d'un responsable dédié. « Il faut nommer un pilote sur la route de la conformité », conclut Helene Legras, Data Protection Officer chez New AREVA Holding.
Car c'est acquis : la fonction de DPO va monter en puissance à l'ère du numérique.
(De gauche à droite sur la photo de tête : Paul Olivier Gibert, Président - Association française des correspondants à la protection des données personnelles; Célia Zolynski, Professeur de droit privé - Université de Versailles Saint Quentin Paris Saclay - Conseil national du numérique; Anthony Coquer, Adjoint au Directeur Sûreté Groupe, Administrateur ADPO - Keolis; Eric Caprioli, Avocat à la Cour de Paris, Caprioli & Associés, Vice-Président - CESIN; Helene Legras, Data Protection Officer - New AREVA Holding.)
Lire également
RGPD: les entreprises françaises face à la dispersion des données persos
Traçabilité et cartographie de la donnée au coeur de l'application du RGPD
RGPD, compétences, expertises. les enjeux sensibles du Cloud en France
Sur le même thème
Voir tous les articles Cloud