Ac­tua­li­té

Ju­ri­dique

IT for Business - - SOMMAIRE -

Le rôle stra­té­gique du dé­lé­gué à la pro­tec­tion des don­nées créé par le RGPD

La créa­tion de la fonc­tion de dé­lé­gué à la pro­tec­tion des don­nées ( Da­ta Pro­tec­tion Of­fi­cier en an­glais « DPO ») est au coeur du Rè­gle­ment gé­né­ral de pro­tec­tion des don­nées eu­ro­péen (RGPD) qui se­ra ap­pli­cable dans tous les États membres d’ici un an, le 25 mai 2018. Les lignes di­rec­trices adop­tées par le G29 dans leur ver­sion dé­fi­ni­tive le 5 avril 2017 cla­ri­fient ce nou­veau cadre ju­ri­dique.

En France, le DPO se­ra le na­tu­rel suc­ces­seur de l’ac­tuel Cor­res­pon­dant In­for­ma­tique et Li­ber­tés (CIL). S’agis­sant de sa dé­si­gna­tion, fi­ni le seuil de 50 per­sonnes. Elle se­ra obli­ga­toire dans le sec­teur pu­blic, à l’ex­cep­tion des ju­ri­dic­tions, quelle que soit la na­ture du trai­te­ment, comme pour les or­ga­nismes pri­vés, dès lors que les en­tre­prises font des trai­te­ments à grande échelle de sui­vi ré­gu­lier et sys­té­ma­tique des per­sonnes ou de don­nées sen­sibles (re­li­gion, condam­na­tions, san­té, etc.). En de­hors de ces cas, le G29 en­cou­rage for­te­ment la dé­si­gna­tion vo­lon­taire d’un DPO qui em­por­te­ra sa sou­mis­sion aux dis­po­si­tions rè­gle­men­taires le con­cer­nant. Le DPO se­ra le chef d’or­chestre de la con­for­mi­té des dis­po­si­tifs in­ternes au RGPD. À ce titre, il de­vra as­sis­ter le res­pon­sable du trai­te­ment voire le sous-trai­tant, les conseiller, et émettre des re­com­man­da­tions sur toutes les pro­blé­ma­tiques liées à la pro­tec­tion des don­nées à ca­rac­tère per­son­nel. Dans l’ac­com­plis­se­ment de ses mis­sions, le DPO ap­pré­cie­ra les opé­ra­tions de trai­te­ment eu égard aux risques as­so­ciés à leurs na­ture, por­tée, contexte et fi­na­li­tés. Il réa­li­se­ra à ce titre des ana­lyses d’im­pact préa­la­ble­ment à la mise en oeuvre d’un trai­te­ment, en se pro­non­çant sur la mé­tho­do­lo­gie, les me­sures de sé­cu­ri­té et de pro­tec­tion à mettre en place à l’aulne des risques en­cou­rus. Le Rè­gle­ment ex­clut ex­pres­sé­ment la res­pon­sa­bi­li­té per­son­nelle du DPO en cas de non-con­for­mi­té, qui pèse uni­que­ment par prin­cipe sur le res­pon­sable du trai­te­ment. Il ap­par­tien­dra aus­si au DPO de contrô­ler l’ap­pli­ca­tion concrète des règles ré­gis­sant la ma­tière, en par­ti­cu­lier à l’oc­ca­sion d’au­dits. Sa mis­sion se­ra fa­ci­li­tée par une co­opé­ra­tion ré­gu­lière avec

l’au­to­ri­té de contrôle. À la dif­fé­rence du CIL, le DPO n’est pas né­ces­sai­re­ment un em­ployé de l’or­ga­nisme, il peut être ex­ter­na­li­sé (il peut s’agir par exemple d’un avo­cat), voire être mu­tua­li­sé au sein d’un groupe d’en­tre­prises, à condi­tion de dé­mon­trer qu’il peut se rendre ai­sé­ment dis­po­nible. En ef­fet, le DPO doit être en me­sure de com­mu­ni­quer fa­ci­le­ment avec les per­sonnes concer­nées, les­quelles doivent le sou­te­nir dans sa mis­sion. Son au­to­no­mie de­vra être ga­ran­tie par une mise à dis­po­si­tion des moyens ma­té­riels né­ces­saires à la réa­li­sa­tion de sa mis­sion. Ain­si, son rôle et ses mis­sions en font le pi­vot dans la mise en place des prin­ci­pales dis­po­si­tions no­va­trices du Rè­gle­ment. À la fois fa­ci­li­ta­teur, contrô­leur et conseil, son pro­fil exige de fortes connais­sances ju­ri­diques et tech­niques ain­si qu’une implication au ni­veau le plus éle­vé dans la struc­ture qui l’a nom­mé. Pré­ci­sons qu’en cas de non-res­pect de cette ré­gle­men­ta­tion, les sanc­tions sont lourdes, celles-ci pou­vant al­ler jus­qu’à 10 M€ ou, pour les en­tre­prises, à 2 % du chiffre d’affaires an­nuel mon­dial. •

Me PIERRERANDOLPH DUFAU • AVO­CAT À LA COUR Fon­da­teur de la SELAS PRD avo­cats

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.