Le délégué à la protection des données et ses outils
Impossible d'accéder à la ressource audio ou vidéo à l'adresse :
La ressource n'est plus disponible ou vous n'êtes pas autorisé à y accéder. Veuillez vérifier votre accès puis recharger la vidéo.
Fondamental : Délégué à la protection des données
Le délégué à la protection des données (aussi appelé DPO pour Data Protection Officer) est au centre de la responsabilisation des responsables de traitement.
Le DPO peut faire partie de l'entreprise ou être issu d'une entreprise spécialisée.
Le DPO est en contact direct avec la direction de l'organisation pour que les représentants du responsable de traitement soient toujours informés des questions de données. En cas de manquement du responsable de traitement, le DPO ne pourra être responsable juridiquement que si la faute est intentionnelle.
Méthode : Missions du DPO
Informer et conseiller : sensibilise aux obligations touchant à la protection des données.
Contrôler la conformité : recense les traitements et tient à jour un registre de traitement qui est l'outil au centre de la mise en conformité.
Assurer l'interface : entre la CNIL, l'organisme et les personnes concernées par le traitement.
Fondamental : Registre des traitements des données
Le registre des traitements des données est l'outil au centre de la conformité qui doit être tenu par tout organisme traitant des données personnelles.
Ce registre doit être tenu par les responsables de traitement et les sous-traitants.
Sa rédaction peut être confié au DPO.
Méthode :
Un registre doit répondre aux questions suivantes :
Qui sont les acteurs intervenant dans le traitement ?
Quel type de données est traité (médicale, géolocalisation, etc.) ?
Qui accède aux données ?
Combien de temps sont-elles conservées ?
Comment sont-elles sécurisées ?
Analyse d'impact relative à la protection des données (AIPD)
L'AIPD est le second outil du DPO. Il vise à décrire précisément les traitements et à identifier systématiquement les risques sur la vie privée et les libertés. Évaluer ces risques permet de les réduire au maximum en atteignant un niveau acceptable.
Cet outil est très précieux pour prouver sa conformité si la CNIL ou une personne concernée le demande.
Un risque est estimé en fonction de deux critères :
sa vraisemblance,
sa gravité.
Par exemple :
Le fait qu'un salarié extraie des données de l'entreprise est vraisemblable mais avec une faible gravité
Le fait qu'une attaque informatique massive se produise est peu vraisemblable mais très grave.
Méthode : Violation des données
Lorsqu'une violation des données a lieu, il est nécessaire :
de la documenter,
de la communiquer à la CNIL,
d'informer les personnes concernées par cet incident.
Une violation peut être notamment une perte ou une fuite de données due à une attaque ou à un problème dû à une mauvaise programmation.
À retenir
Le DPO est l'acteur phare pour la mise en conformité au RGPD.
Le registre et l'AIPD serviront au DPO dans sa mission.