28 000 organisations en Europe vont devoir recruter leur Délégué à la protection des données (DPO - Data Protection Officer), l’équivalent de notre CIL (Correspondant Informatique et Liberté).
Les nouvelles règles européennes appelées à remplacer celles de notre Loi Informatique et Libertés seront applicables le 25 mai 2018. Le RGPD (Règlement Général sur la Protection des Données ) ou GDPR (General Data Protection Regulation) a en effet été voté par le Parlement européen en début de cette année, après un long processus de 5 années de négociations.
À cette date, les organisations publiques et privées devront recruter, nommer ou contracter un DPO (Data Protection Officer), aussi appelé dans certains pays CPO (Chief Privacy officer), autrement dit en France un DPD (Délégué à la Protection des Données). Trois acronymes pour une seule fonction, celle qui remplacera notre actuel CIL (Correspondant Informatique et Liberté).
Dans moins de 2 ans, entreprises et administrations devront se mettre en conformité avec la réglementation européenne. Ce qui aurait pu être une formalité pour celles qui disposent déjà d’un CIL, sauf que le champ d’action du DPO s’est étendu, avec en particulier la notification et l’enregistrement des violations de données personnelles, ainsi que les analyses d’impact de ces violations. Pour autant, ces organisations auront un net avantage grâce à l’avance prise.
Moins de 2 ans pour recruter 28 000 DPO
Car c’est en masse que les organisations éligibles à la réglementation européenne vont devoir se mettre en conformité. En effet, environ une entreprise sur deux seulement devrait disposer d’un DPO avant la fin de cette année. Si l’on retourne l’équation, ce sont 28 000 délégués (24 000 dans le secteur privé et 4 000 dans le secteur public) qui devront être recrutés et formés avant mai 2018.
Une estimation prudente qui repose sur les statistiques officielles sur les contrôleurs de données des secteurs public et privé dans l’UE. Mais qui ne prend pas en compte les PME, dont certaines en fonction de leur activité et de la collecte de données qu’elles exercent seront soumises au RGPD.
Profil du DPO
L’article 35 du RGPD ne fixe pas de profil de DPO, mais précise la nécessité de disposer d’« une connaissance approfondie du droit et des pratiques de protection des données ». Il faut faire appel à un niveau expert de connaissances « en fonction des opérations de traitement de données effectuées et de la protection requise pour les données personnelles traitées par un contrôleur ou un processeur ».
Les tâches du DPO délimitées dans le règlement prévoient :
- Informer et conseiller le contrôleur ou le processeur et ses employés de leurs obligations de se conformer au RGPD et d’autres lois de protection des données.
- Le contrôle du respect du RGPD et d’autres lois de protection des données, y compris la gestion des activités de protection de données interne, la formation du personnel de traitement de données, et la réalisation d’audits internes.
- Des conseils en matière d’évaluation d’impact sur la protection des données en cas de besoin en vertu de l’article 33.
- Travailler et coopérer avec l’autorité de contrôle désignée de ce contrôleur ou processeur et servant de point de l’autorité de surveillance sur les questions relatives au traitement des données personnelles de contact.
- Être disponible pour les demandes émanant de personnes concernées sur les questions relatives aux pratiques de protection des données, le retrait du consentement, le droit à l’oubli, et des droits voisins.
Quelles certifications pour le DPO ?
Le règlement européen ne prévoit pas de certification du DPO. C’est pourtant une démarche qui s’impose dans certaines entreprises et pour la validation des actes qui accompagnent la publication des résultats des grandes entreprises.
La certification fournie par l’IAPP (International Association of Privacy Professionals) devrait suffire. Mais l’orientation prise par certaines entreprises porterait plutôt sur la combination du Certified Information Privacy Professional for EU professionals (CIPP/E) de l’IAPP et du Certified Information Privacy Manager (CIPM). Ainsi que le Certified Information Privacy Technologist (CIPT) de l’IAPP et sa version américaine CIPP. Tout cela est à vérifier...
Source : International Association of Privacy Professionals