En mai 2018, dans le cadre du Règlement général sur la protection des données (RGPD), le correspondant informatique et libertés (CIL) cédera sa place à un nouveau garant de la sécurité informatique : le délégué à la protection des données (ou data protection officer, DPO). Pourquoi nommer un DPO dans une entreprise ? Quel est son rôle ? Sa nomination est-elle obligatoire ou facultative ? Des questions qu’il est important de se poser pour être en conformité avec la nouvelle réglementation européenne.
Pourquoi nommer un DPO ?
Le modèle économique de nombreux professionnels et entreprises est de plus en plus bâti sur la collecte massive de données personnelles.
Anodine en apparence, la maîtrise de données à grande échelle permet à l’entreprise qui collecte les données (le «Responsable de traitement ») d’accéder à de très nombreuses informations, dont la majorité est désormais déduite via des outils d’intelligence artificielle de plus en plus complexes.
A défaut de contrôle, cette connaissance peut vite se transformer en abus et porter atteinte à la vie privée des personnes dont les données sont traitées.
La nomination d’un délégué à la protection des données est obligatoire notamment, lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ». (Article 37 RGPD)
Elle est également obligatoire lorsque l’entreprise collecte des données dites « sensibles » (données santé, opinions politiques, appartenance syndicale, etc.).
Dans la plupart des autres cas, la nomination du délégué à la protection des données est simplement facultative.
La désignation d’un DPO présente donc plusieurs bénéfices :
- Un renforcement de la sécurité juridique : elle permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
- Un renforcement de la sécurité informatique : le DPO conseille l’entreprise sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
- Un vecteur de confiance avec les parties prenantes : la mise en place d’un DPO est de nature à rassurer les personnes extérieures à l’entreprise (clients, fournisseurs, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.
Quel est le rôle du DPO ?
Le délégué à la protection des données assure différentes missions :
- vérifier la conformité des modalités de collecte des données, et s’assure que l’entreprise a bien mis en place les outils exigés par la nouvelle Réglementation;
- préparer et tienir à jour le Registre des Activités de traitement de données;
- assister en cas de difficulté pour répondre à une demande d’accès, d’effacement ou de modification formulée par une personne dont les données ont été collectées;
- veiller à ce que l’entreprise soit en conformité vis à vis des obligations à sa charge en matière de données personnelles.
Même lorsqu’elle n’est pas obligatoire, la nomination d’un DPO est d’abord un gage de sérieux tant vis-à-vis des personnes dont les données sont collectées, que vis-à-vis des autorités de contrôle (CNIL).