Article réservé aux abonnés Archimag.com

Données personnelles : du correspondant informatique et libertés au délégué à la protection des données

  • personnes_ombre.jpg

    personne-ombre
    Le règlement général européen sur la protection des données est entré en vigueur le 25 mai 2016. Mais ce n’est qu’à compter du 25 mai 2018 que les entreprises devront prouver leur conformité au RGPD. (VisualHunt)
  • À partir de 2018, les correspondants informatique et libertés (Cil) vont s’effacer derrière les data privacy officers (DPO). Si les intéressés sont au courant, leurs organisations, pas toujours ! Et avec le Règlement général sur la protection des données (RGPD, européen), de nouvelles dispositions sont introduites. Voici ce qu’il faut savoir.

    helene_legrasLa loi Informatique et libertés du 6 août 2004 et son décret d’application du 20 octobre 2005 ont permis de désigner, dans les organismes privés et publics, des correspondants à la protection des données, très vite appelés « correspondant informatique et libertés » (Cil).

    Montrer une démarche « informatique et libertés » était le fil conducteur qui avait poussé de nombreuses entreprises à nommer des Cil, qui étaient 17 500 à fin 2016. Les textes légaux n’avaient pas détaillé les missions des Cil. Ils devaient tenir un registre des traitements automatisés de données personnelles de leur organisme et faire leur bilan annuel au responsable de traitement.

    Ces missions restreintes se sont étendues, dans les faits, avec la vie opérationnelle de ce nouveau métier passionnant. Les premiers Cil nommés ont pu créer une pratique en forgeant leur poste pour répondre aux besoins de leur entreprise.

    Une grande part de pédagogie

    Nommée Cil, pour le Groupe Areva le 1er mars 2007, j’ai pu axer ma fonction dans le sens d’une « conformité protection des données personnelles », avec une grande part de pédagogie, sous forme de formations, sensibilisations, recommandations indispensables pour que responsables de traitement et opérationnels respectent les principes applicables.

    Le règlement général européen sur la protection des données est entré en vigueur le 25 mai 2016. Mais ce n’est qu’à compter du 25 mai 2018 que les entreprises devront prouver leur conformité au RGPD, qui cohabitera avec les lois nationales si elles comportent des particularismes non prévus par le règlement. Le RGPD remplace donc la directive européenne de 1995 ; mais la loi informatique et libertés du 6 août 2004 et la loi pour une République numérique, dite « Loi Lemaire » du 7 octobre 2016, perdure.

    Obligatoire

    Le Cil était facultatif. Le délégué à la protection des données sera obligatoire, comme l’était le « Datenschutzbeauftragter » allemand, dans certains cas. Les autorités publiques et les organismes publics devront nommer des DPO. Les grandes entreprises, les banques, les compagnies d’assurances, dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées devront avoir un DPO. Les sociétés collectant des données sensibles auront aussi leur DPO.

    Le G29 (Groupe des Cnil européennes, présidé par Isabelle Falque-Pierrotin, présidente de la Cnil française) quant à lui, a recommandé le 16 décembre 2016, la nomination de DPO. Pour ma part, je suis persuadée que le DPO est indispensable pour mener à bien la conformité exigée par le RGPD.

    Salarié ou pas du responsable du traitement, il doit être en mesure d'exercer ses fonctions et missions en toute indépendance.

    Comme le Cil, le DPO interne aura l’avantage indéniable de connaître son entreprise et ses rouages. Il saura où trouver les informations et connaît les interlocuteurs utiles.

    Qualités professionnelles et connaissances spécialisées

    Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions citées dans l'article 39.

    Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions. Le Cil connaissait les traitements mis en œuvre par son organisme et les types de données à caractère personnel collectées à cette occasion. Le DPO pourra désormais accéder aux données, qui peuvent être sensibles (ce sont par exemple les données raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques...).

    La sécurité au cœur des préoccupations

    Il est donc nécessaire qu’il soit lié par une obligation de ne pas communiquer ces informations à des tiers ou à des personnes de l’entreprise qui n’ont pas à y accéder. Cette sécurité, en relation avec les équipes informatiques, sera au cœur de ses préoccupations, car les pirates sont aux portes des réseaux pour capturer les informations vitales des entreprises, que ce soit leurs secrets de fabrique, commerciaux ou les données personnelles de leurs salariés et de leurs clients. Le RGPD oblige d’ailleurs les entreprises à notifier leurs violations de données personnelles. Dans les faits, c’est le DPO, informé par le DSI (directeur des systèmes d'information) et le RSSI (responsable de la sécurité des systèmes d'information), qui notifiera à la Cnil, ainsi qu’aux personnes dont les données ont été piratées.

    Coordinateur et superviseur

    Le DPO, comme le Cil, doit être un communicant. Mais le DPO est en plus un véritable chef de troupe coordonnant les actions de son réseau, qu'il anime et avec lequel il travaille en étroite collaboration. Le DPO apparaît comme un coordinateur, un superviseur associé à toutes les questions relatives à la protection des données au sein de son entreprise.

    Il recommande, préconise, émet des guides internes de bonnes pratiques.

    Le Cil ne pouvait travailler seul, sans son réseau de relais informatique et libertés. Le DPO doit élargir ce réseau du fait de ses multiples missions. Il ne peut être expert dans tous les domaines et doit s’appuyer sur d’autres expertises internes.

    Loin de se contenter d’un réseau interne, le DPO a aussi un réseau externe. Il échange sur la protection des données personnelles avec les Cil et DPO d’autres entreprises, qui bien que de secteurs d’activités différents ont les mêmes buts que lui. Il adhère à des associations qui fédèrent les Cil/DPO.

    Il intervient dans des conférences, suit des formations. Le Cil avait des liens privilégiés avec la Cnil en France. Le RGPD transforme le DPO en point de contact de la Cnil. Dans les sociétés et groupes internationaux, il pourra même étendre ses relations aux autres autorités de contrôle européennes.

    Toutes les données de l’entreprise, personnelles, industrielles ou intellectuelles

    Cil et DPO ne sont pas le même métier. Le Cil était en charge des données à caractère personnel. DPO signifie data protection officer et l’expression parle de « data » sans préciser « personnelles ». On peut donc penser que le DPO aura en charge la protection de toutes les données de l’entreprise qu’elles soient personnelles, industrielles ou intellectuelles.

    Le DPO aura plus de missions et responsabilités que l'actuel Cil, même si le DPO, comme le Cil, ne sera pas responsable pénalement et qu’il ne sera pas salarié protégé. A priori, les Cil d'aujourd'hui constituent le vivier des futurs DPO de demain. Le RGPD va transformer les Cil en DPO. C’est ce que l’on pourrait penser en toute logique.

    Néanmoins, on peut s’interroger sur cette question essentielle : tous les Cil français deviendront-ils DPO ? Effectivement le métier de Cil n’est pas le métier de DPO. Certains salariés furent nommés Cil par leur entreprise, une nouvelle fonction où tout était à faire et mettre en place. La désignation du DPO est prévue par le règlement. L’article 37 prévoit ses missions, qui sont différentes, plus larges et plus importantes que celles du Cil. Certains Cil n’auront donc pas envie d’endosser ces responsabilités, qui vont peser sur lui. De même, l’organisme qui avait choisi son Cil pour ses qualités intrinsèques pourra ne pas vouloir le nommer DPO parce qu’il estime qu’il n’a pas la carrure d’un DPO.

    Le DPO est celui qui mène son entreprise sur la route de la conformité et lui permettra d’éviter d’éventuelles sanctions. Effectivement, le RGPD renforce les sanctions qui pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les entreprises doivent donc dès à présent s’atteler à leur mise en conformité et nommer leur DPO, base et pilier de cette conformité.

    Hélène Legras
    Juriste, Cil/DPO du Groupe Areva
    Vice-présidente de l’Association des data protection officers
    www.data-protection-officer-association.eu

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    archimag-304
    L’Iso 15489-1:2016, nouvelle version de la norme sur le records management, intègre désormais les data. C’est en soi une petite révolution conceptuelle et pour le métier de records manager.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    C'est le nombre de personnes que le gouvernement souhaite former au numérique dans les prochaines années.

    Recevez l'essentiel de l'actu !