Small nick 01

Jérôme BENBIHI

GDPR : devez-vous désigner un DPO pour être en conformité ?

 

dpo

Le règlement européen de la protection des données personnelles GDPR entrera en vigueur le 25 mai 2018. Au plus tard cette date, les entreprises traitant des données doivent être en conformité, notamment par le biais de la nomination d'un délégué à la protection des données. Vous ignorez si vous êtes concerné par cette nomination ? Sachez que la nomination d’un DPO (Data Protection Officer) ne concerne pas uniquement les entreprises avec au moins 250 employés. Soyez prudent et revérifiez toutes les informations. Probablement votre entreprise a aussi besoin d’un DPO. Car, le non-respect du GDPR peut coûter à l’entreprise jusqu’à 4% de son chiffre d’affaires, et entraîner l’interdiction de traiter les données personnelles. Compte tenu du peu de temps qui reste pour atteindre la conformité, il est impératif de s’y mettre dès à présent. L’article 37 (1) du RGDP exige la nomination d’un délégué à la protection des données (DPO) dans l’un de ces trois cas :

1.Le traitement est effectué par une autorité publique ou un organisme public,

2. Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.

3. Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Deux questions se distinguent spécifiquement, l’une et l’autre se référant à l’article 37 (1) (b) :

1. Que comprend le suivi des personnes concernées dans le cadre des « activités de base » d’une entreprise ?

2. Comment devrions-nous interpréter la surveillance des personnes concernées « à grande échelle » ?

Le WP29 a reconnu cette ambiguïté, et a publié des directives supplémentaires en Avril 2017. Ses trois directions :

  • La nomination d’un DPO est obligatoire lorsque le traitement des données fait partie de l’activité principale d’une entreprise ;
  • Si une entreprise a besoin d’une sorte de traitement de données personnelles pour atteindre ses objectifs principaux, un tel traitement est considéré comme une activité de base.
  • La nomination d’un délégué à la protection des données est considérée comme une bonne pratique et est encouragée, même lorsqu’elle n’est pas obligatoire.

Gardez à l’esprit les lignes directrices et sachez que lorsque vous êtes audité, la logique de GDPR vous demande de prouver que vous êtes explicitement exempté, plutôt que vice versa. 

Qui est ce DPO ? Le texte le plus direct sur les DPO peut être consulté aux articles 37 à 39. Le DPO est un spécialise en matière de collecte et de traitement des données. Il doit s’assurer de la conformité à la réglementation en matière de données personnelles, et cela à tous les niveaux. Dans ce cadre, il collabore avec toutes les directions de l’entreprise : Marketing, Juridique, Informatique, Ressources Humaines et Direction financière et de l’audit interne. Le DPO fournit des conseils sur toutes les questions concernant la protection des données personnelles, rend compte aux plus hauts niveaux de gestion, il est le contact officiel de l’organisation pour coopérer avec l’autorité de protection des données. Puis, le DPO bénéficie de droits et de protections spécifiques pour exécuter correctement ses tâches. L’article 38 (3) du GDPR dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions ». « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ». L’externalisation du DPO peut être un moyen qui permet de garantir l’indépendance de celui-ci, et donc de se conformer à la réglementation. Il semble évident que l’externalisation aura de nombreux avantages pour la majorité des PME :

  • Indépendant
  • Absence de conflit d’intérêts
  • Coûts maitrisés
  • Disponible immédiatement (pas de formation)
  • Expertise assurée
  • Disponible « à la carte »
  • Renforts disponibles
  • Remplacement facilité (relation contractuelle libre)

Enfin, le DPO offre une occasion formidable de se préparer à l’avenir – où la gouvernance stratégique, durable et responsable des données personnelles détermine le succès à long terme.

Laissez un commentaire