La loi vient d'être votée, le DPO (Data Protection Officer) s'imposera dans toutes les organisations européennes, et cela dès 2018. Hasard du calendrier, ce même jour le Cercle de la Sécurité et du Système d'Information en discutait lors d'un débat sur les données personnelles.
Le temps est compté, les organisations - toutes des entreprises aux administrations dans tous les pays de la Communauté européenne - ne disposent plus que de deux ans, jusqu'en 2018, pour créer un poste de DPO (Data Protection Officer). Si le travail est engagé depuis longtemps, notamment au travers de la CNIL et des CIL (Correspondant Informatique et Libertés) déjà en place, c'est un poste clé de superviseur de la gestion des données personnelles qui s'impose à la hiérarchie de l'entreprise. Avec une incitation des plus incontournable, la menace de sanctions extravagantes.
Data Protection Officer
Comme l'a évoqué avec nous Paul-Olivier Gibert, président de l'AFCDP (Association Française des Correspondants à la Protection des Données Personnelles), le DPO s'inscrit dans la continuité des CIL. Certes, mais la relation avec la CNIL s'établit sur un mode principalement déclaratif, et toutes les entreprises n'ont pas un CIL. Or, la mission du DPO va nettement au-delà. Il devient une fonction clé et obligatoire de conseil et d'assistance, mais avec une responsabilité forte.
La création de la fonction votée par le Parlement européen apporte également quelques avantages. Le principal étant certainement la logique de simplification et d'homogénéisation d'une même loi qui s'impose dans toute l'Europe. Le DPO va devoir potasser le juridique afin de connaître la réglementation et de s'offrir de solides bases, mais elles sont les mêmes pour tous dans les frontières de l'Europe.
La proximité ou la prolongation du CIL n'est en revanche pas anodine. Car le DPO ne s'inscrit pas dans une prolongation de la fonction RSSI, même s'il devra bien comprendre comment fonctionne et se sécurise le système d'information. Sa mission va bien au-delà, et nécessitera d'intégrer et d'articuler le droit du travail, la finance, la technique et la sécurité.
Les grands chantiers du DPO
La loi européenne et centrée sur la protection de la donnée personnelle. Elle pose la question du bon usage des données et de la légitimité des actions des organisations. Le DPO devra donc intervenir très rapidement, et cela dès l'initiative des projets. Mais avant cela, sa mission s'annonce double :
- mettre en place une gouvernance d'entreprise sur la donnée afin d'aligner les responsables, les responsabilités, et d'en déduire des règlements ;
- sensibiliser et former la Direction générale, la DSI, et toutes les personnes qui traitent la donnée ;
- mettre en place des règles de contrôle, de preuve par la documentation, d'audit et d'autogestion… et trouver des méthodologies simplifiées d'analyse des risques.
Sans oublier un très gros chantier, car la loi s'impose à l'ensemble de l'écosystème et se fait contraignante auprès de partenaires et sous-traitants, celui de vérifier la conformité de tous les contrats, passés et futurs. Circule la notion de 'privacy by design', mais en l'absence de règles énoncés, ce domaine est aujourd'hui soumis à une interprétation libre, ce qui ne va pas arranger le DPO !
N'oublions pas pour conclure le volet des sanctions pénales, qui peuvent aller jusqu'à un exorbitant pourcentage du chiffre d'affaires, établi selon la typologie de manquement. Garance Mathias, avocate, attire par ailleurs notre attention sur les autres sanctions qui perdurent, et au risque d'image, avec les mises en demeure qui sont rendues publiques sur la site de la CNIL.
Image d'entête 68214407 @ iStock Lanaclipart