Dé­mar­rez au plus tôt votre pro­jet de confor­mi­té au RGPD!

L’ap­pli­ca­tion du Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées (RGPD) se­ra ef­fec­tive le 25 mai 2018 avec, en cas de non confor­mi­té, des sanc­tions sans com­mune me­sure avec celles ap­pli­cables jus­qu’à pré­sent. Pour ai­der les en­tre­prises à s’y pré­pa­rer, la

IT for Business - - ENTRETIEN -

J’étais correspondant in­for­ma­tique et li­ber­té (CIL) du groupe de­puis le 1er mars 2007, donc l’un des pre­miers CIL nom­més en France. J’of­fi­ciais pour l’en­semble du groupe et de ses fi­liales — un peu plus d’une cen­taine dé­sor­mais —, à l’ex­cep­tion de notre fi­liale al­le­mande qui de­vait avoir un re­pré­sen­tant lo­cal (Da­ten­schutz­beauf­trag­ter), dont la dé­si­gna­tion était obli­ga­toire. Nous avons dé­ci­dé d’an­ti­ci­per les exi­gences du RGPD en me nom­mant DPO pour le Groupe Are­va à la date du 25 mai 2017, juste un an avant l’en­trée en ap­pli­ca­tion du rè­gle­ment. Mettre un pi­lote dans l’avion est la pre­mière des six étapes dé­crites par la CNIL pour sa­tis­faire aux condi­tions d’ap­pli­ca­tion du RGPD. Ce­la se veut ain­si un si­gnal fort vis-à-vis de l’or­ga­ni­sa­tion interne, mais aus­si des autres ac­teurs ex­ternes du RGPD. Ce­la vise à confir­mer la po­si­tion d’are­va dans sa stra­té­gie de confor­mi­té en ma­tière de pro­tec­tion des don­nées per­son­nelles.

Que re­pré­sente la com­mu­nau­té des CIL? Existe-t-il dé­jà une com­mu­nau­té des DPO?

On compte en­vi­ron 17 500 CIL en France. Et L’IAPP es­ti­mait à en­vi­ron 20 000 la créa­tion de postes de DPO. La CNIL pense qu’entre 80 000 et 100 000 DPO de­vraient être nom­més. La com­mu­nau­té des CIL existe au tra­vers d’as­so­cia­tions. Par exemple L’AFCDP, As­so­cia­tion fran­çaise des cor­res­pon­dants aux don­nées per­son­nelles, dont j’ai été long­temps ad­mi­nis­tra­teur, ou en­core L’AFJE, As­so­cia­tion fran­çaise des ju­ristes d’en­tre­prise, du fait que le CIL a sou­vent un pro­fil de ju­riste. Des groupes de tra­vail de CIL internationaux existent éga­le­ment.

En jan­vier 2016, avec l’avo­cat Alain Ben­sous­san, nous avons fon­dé L’ADPO, l’as­so­cia­tion des Da­ta Pro­tec­tion Of­fi­cers, pour d’une part pe­ser sur la dé­fi­ni­tion du rôle et des res­pon­sa­bi­li­tés du DPO dans le contexte du RGPD, et d’autre part ai­der les fu­turs DPO — qui n’au­ront pas tous l’ex­pé­rience d’un CIL — dans l’exer­cice de leurs res­pon­sa­bi­li­tés et dans le sé­quen­çage de leurs pre­mières ac­tions. Car le chan­tier RGPD est d’am­pleur. Plus de 50 grandes en­tre­prises, dont les grands groupes du CAC 40, ont dé­jà adhé­ré à L’ADPO.

Un CIL est-il sys­té­ma­ti­que­ment ame­né à de­ve­nir DPO? En quoi leurs mis­sions dif­fèrent-elles?

La fa­mille des CIL va certes de­ve­nir la fa­mille des DPO, mais tous les CIL ne se­ront pas for­cé­ment DPO. La loi n’était pas di­serte sur le rôle des CIL. Ce­la se ré­su­mait glo­ba­le­ment à « CIL tu es, ton re­gistre tu tien­dras. CIL tu es, ton bi­lan an­nuel tu fe­ras » . La chance que nous avons eue, en tant que pre­miers CIL, c’est de pou­voir fa­çon­ner ce poste. En de­hors du tra­vail ad­mi­nis­tra­tif lié aux de­mandes d’au­to­ri­sa­tion ou à la ré­dac­tion des do­cu­ments ju­ri­diques, j’ai pour ma

« Le RGPD concerne les don­nées per­son­nelles, mais un DPO a vo­ca­tion à em­bras­ser toutes les don­nées de l’en­tre­prise »

part mis l’em­phase sur la pé­da­go­gie, sur la for­ma­tion et la sen­si­bi­li­sa­tion. Il fal­lait expliquer aux opé­ra­tion­nels ce qu’était une don­née per­son­nelle, une don­née sen­sible ou une don­née à ca­rac­tère dis­cri­mi­na­toire…

La mis­sion du DPO est toute autre. C’est une mis­sion de construc­tion, de co­or­di­na­tion, de contrôle de la stra­té­gie de pro­tec­tion des don­nées au sein de l’en­tre­prise. Il va de­voir mettre en place des pro­cé­dures, éven­tuel­le­ment me­ner des études d’im­pact, no­ti­fier des vio­la­tions de don­nées per­son­nelles, etc. Ce sont beau­coup de mis­sions et les res­pon­sa­bi­li­tés cor­res­pon­dantes. Cer­tains CIL ne sou­hai­te­ront pas as­su­mer ces res­pon­sa­bi­li­tés ou es­ti­me­ront que leur en­tre­prise ne leur donne pas les moyens suf­fi­sants pour les as­su­mer. Cer­taines en­tre­prises pour­ront aus­si es­ti­mer que leur CIL n’est pas la bonne per­sonne pour de­ve­nir DPO.

Quels sont les cri­tères de choix d’un DPO?

Les CIL ac­tuels sont pour un tiers des ju­ristes, pour un tiers des in­for­ma­ti­ciens ou des RSSI, et un der­nier tiers un « mel­ting pot » de ges­tion­naires de risques, d’au­di­teurs, de res­pon­sables com­mer­ciaux, d’anciennes as­sis­tantes de di­rec­tion, d’avo­cats et de CIL ex­ternes. Le RGPD ne pré­cise pas les ca­rac­té­ris­tiques in­trin­sèques d’un DPO, mais il se­ra as­so­cié de ma­nière ap­pro­priée et en temps utile à toutes les ques­tions tou­chant à la pro­tec­tion des don­nées per­son­nelles. Il doit être proche de l’or­gane de di­rec­tion de l’en­tre­prise car il doit contrô­ler la confor­mi­té de son or­ga­nisme qui est res­pon­sable pé­na­le­ment de cette « ac­coun­ta­bi­li­ty » . Il faut par exemple qu’il ait les moyens de dé­clen­cher une étude d’im­pact, voire un au­dit interne. Ce po­si­tion­ne­ment éle­vé est aus­si jus­ti­fié par un as­pect bu­si­ness et les nouveaux ni­veaux

de sanc­tion ap­pli­cables en cas de man­que­ment, de même que par les risques sur l’image de marque. Le RGPD sti­pule éga­le­ment la né­ces­si­té d’évi­ter les conflits d’in­té­rêt. En la ma­tière, le DSI est ame­né à mettre en oeuvre des trai­te­ments in­for­ma­tiques, donc il pour­rait y avoir conflit d’in­té­rêt car on ne peut être « juge et par­tie ». D’un autre cô­té, le RGPD étant très axé sur la sé­cu­ri­té in­for­ma­tique, un DSI ou un RSSI pour­rait res­sen­tir une cer­taine lé­gi­ti­mi­té à être DPO. C’est au res­pon­sable de trai­te­ment de dé­ci­der. Le DPO doit mon­trer un sa­voir-être, il se doit d’être com­mu­ni­cant, ai­mer les re­la­tions hu­maines et … sa­voir res­ter zen face à cer­taines si­tua­tions qui ne sont pas tou­jours simples à gé­rer.

Parle-t-on uni­que­ment de don­nées per­son­nelles ou toutes les don­nées de l’en­tre­prise sont-elles concer­nées?

Si le RGPD men­tionne ex­pli­ci­te­ment les don­nées per­son­nelles, le titre de DPO ne le pré­cise pas. Un DPO est donc po­ten­tiel­le­ment res­pon­sable de toutes les don­nées de l’en­tre­prise, avec l’aide des autres ex­perts de l’en­tre­prise. Si les ha­ckers s’in­té­res­saient aux don­nées in­dus­trielles, les don­nées per­son­nelles sont l’or noir du 21e siècle et sont la cible des ran­som­wares qui exigent des ran­çons pour res­ti­tuer aux en­tre­prises leurs don­nées.

Où s’ar­rê­te­ra la res­pon­sa­bi­li­té du DPO?

Ce­la dé­pen­dra par exemple du sec­teur d’ac­ti­vi­té de l’en­tre­prise et de sa taille. C’est no­tam­ment pour ce­la que nous avons fon­dé L’ADPO, pour entre autres pou­voir ré­di­ger une lettre de mis­sion du DPO et qu’elle puisse être adap­tée sui­vant l’en­tre­prise pour la­quelle il tra­vaille, mais aus­si se­lon son propre cur­sus. Sur un autre plan, à la lec­ture du rè­gle­ment, le DPO ne se­rait pas te­nu pé­na­le­ment res­pon­sable des éven­tuelles er­reurs de son en­tre­prise ou de sa non-confor­mi­té au RGPD.

Dans cer­tains cas, le DPO prendra à son compte cer­taines obli­ga­tions in­com­bant au titre du RGPD au res­pon­sable de trai­te­ment, par exemple la no­ti­fi­ca­tion des vio­la­tions de don­nées per­son­nelles à la CNIL ou la te­nue du re­gistre des trai­te­ments. Au sens du RGPD, le DPO a es­sen­tiel­le­ment une res­pon­sa­bi­li­té de moyens et doit te­nir une do­cu­men­ta­tion. Et à ce titre, là où, par exemple, un CIL pou­vait se conten­ter de don­ner des conseils au té­lé­phone, il lui ap­par­tien­dra de gar­der la trace do­cu­men­tée du conseil don­né, de la re­com­man­da­tion émise.

Quels se­ront les pre­mières ac­tions du DPO?

Pour fa­ci­li­ter l’ap­pré­hen­sion du RGPD, la CNIL a dé­fi­ni cinq étapes, après la no­mi­na­tion du DPO qui est la pre­mière étape in­dis­pen­sable. Face à l’am­pleur du chan­tier, il s’agit en ef­fet de prio­ri­ser les ac­tions, de ne pas chercher à tout faire avant le 25 mai 2018. Le pre­mier tra­vail du DPO se­ra de car­to­gra­phier les trai­te­ments en cours et de mettre en place une mé­tho­do­lo­gie d’ins­tau­ra­tion des pro­cé­dures né­ces­saires à la confor­mi­té. L’une des prio­ri­tés est re­la­tive à la re­con­nais­sance, au sein du RGPD, de la res­pon­sa­bi­li­té du sous-trai­tant, pour au­tant faut-il qu’elle soit pré­vue dans le contrat de sous-trai­tance.

Une at­ten­tion par­ti­cu­lière de­vra donc être por­tée sur les men­tions lé­gales et les clauses des contrats à ve­nir. Les res­pon­sables fonc­tion­nels ap­pli­ca­tifs (RFA) sont nom­més lorsque le res­pon­sable de trai­te­ment sou­haite mettre en place une base de don­nées in­for­ma­ti­sée. Or les RFA n’ont pas vo­ca­tion à être res­pon­sable des er­reurs de leurs éven­tuels sous-trai­tants. Le ju­riste va donc ré­di­ger le contrat ad hoc pré­voyant no­tam­ment que la col­lecte des don­nées ne s’ef­fec­tue que dans le cadre du contrat, que seules les per­sonnes qui

« De­vant l’am­pleur du risque et des sanc­tions éven­tuelles, le DPO doit être rat­ta­ché au plus haut de la hié­rar­chie de l’en­tre­prise » « Une at­ten­tion par­ti­cu­lière de­vra donc être por­tée sur les men­tions lé­gales et les clauses des contrats de sous-trai­tance à ve­nir »

tra­vaillent sur ce contrat y ont ac­cès, que les don­nées doivent être dé­truites à l’is­sue du contrat, etc.

Y au­ra-t-il des points d’at­ten­tion par­ti­cu­liers ?

Oui. D’abord, tout ce qui touche au cloud ou à l’ex­ter­na­li­sa­tion de cer­taines fonc­tions est éven­tuel­le­ment pro­blé­ma­tique. Vous si­gnez par exemple un contrat avec une so­cié­té pour de l’hé­ber­ge­ment de don­nées en France et cette so­cié­té va fi­na­le­ment, sans vous pré­ve­nir, mettre une par­tie de ses ser­veurs en Inde parce que c’est moins cher là-bas. C’est gê­nant. Car vous êtes sor­ti du pé­ri­mètre de confiance. Le pro­blème se pose éga­le­ment si, vos don­nées étant en France, l’ad­mi­nis­tra­tion en est réa­li­sée, tou­jours pour des rai­sons éco­no­miques, de­puis l’inde, le Ma­roc ou l’île Mau­rice, trois pays ré­pu­tés pour « faire des prix ».

En­suite, il convient de maî­tri­ser les flux de­puis et vers les pays hors pé­ri­mètre de confiance aux yeux des au­to­ri­tés de contrôle. Notre fi­liale ka­za­khe doit respecter la lé­gis­la­tion en vi­gueur en Ré­pu­blique du Ka­za­khs­tan sur les don­nées per­son­nelles trai­tées dans ce pays. Les en­tre­prises dans le cadre du RGPD se­ront ame­nées à mettre en place des Bin­ding Cor­po­rate Rules (BCR), règles in­ternes d’en­tre­prise pour as­su­rer la confor­mi­té des flux trans­fron­tières de don­nées. La ter­ri­to­ria­li­té du RGPD dé­pend du lieu du trai­te­ment. Si par exemple notre fi­liale amé­ri­caine traite des don­nées sur le sol fran­çais, c’est le RGPD qui s’ap­pli­que­ra.

Comment fe­ront les en­tre­prises ou or­ga­ni­sa­tions qui n’ont pas les moyens de créer un poste de DPO?

L’obli­ga­tion de nom­mer un DPO ne concerne pas toutes les en­tre­prises. Trois cas sont pré­vus : les au­to­ri­tés et or­ga­nismes pu­blics ; les en­tre­prises dont l’ac­ti­vi­té de base exige un sui­vi ré­gu­lier et sys­té­ma­tique à grande échelle des per­sonnes concer­nées ; en­fin celles qui traitent des don­nées sen­sibles. Le RGPD pré­voit que les en­tre­prises puissent faire ap­pel à des DPO mu­tua­li­sés. Sur le plan des res­pon­sa­bi­li­tés qui vont pe­ser sur eux, ce­la me semble un peu moins évident de mettre en place des contrats de ser­vice avec des DPO ex­ternes pour les grandes en­tre­prises, car le DPO doit par es­sence avoir beau­coup plus d’in­ti­mi­té avec l’en­tre­prise, son or­ga­ni­sa­tion, sa stra­té­gie et pou­voir, par exemple, pro­cé­der à des au­dits in­ternes.

Il en va dif­fé­rem­ment des ac­teurs pu­blics comme les col­lec­ti­vi­tés lo­cales. On pourra très bien avoir des DPO mu­tua­li­sés dans les mai­ries. Il me sem­ble­rait lo­gique par exemple qu’il n’y ait qu’un seul DPO pour les 20 ar­ron­dis­se­ments de Pa­ris. Et pour­quoi pas un seul DPO pour le Grand Est : on traite à peu près de la même fa­çon les don­nées à Strasbourg et à Col­mar. En re­vanche, il est né­ces­saire de conser­ver un fac­teur de proxi­mi­té géo­gra­phique, lin­guis­tique, connais­sance du droit lo­cal, le RGPD in­di­quant par ailleurs que le DPO doit être fa­ci­le­ment joi­gnable.

Une nou­velle ver­sion de la Loi in­for­ma­tique et li­ber­tés semble éga­le­ment en pré­pa­ra­tion. De quelle ma­nière s’ar­ti­cu­le­ra-t-elle avec le RGPD?

Le RGPD est plus près de la BDSG ( Bun­des­da­ten­schutz­ge­setz, loi fédérale sur la pro­tec­tion des don­nées) al­le­mande que de la loi fran­çaise en la ma­tière, ou que d’autres lois na­tio­nales, d’ailleurs. Et le texte ne ré­sout pas tout. La CNIL l’a ré­cem­ment confir­mé : une nou­velle ver­sion de la Loi in­for­ma­tique et li­ber­tés de­vra être adop­tée par le Par­le­ment avant la date bu­toir du 25 mai 2018 à par­tir de la­quelle les non-confor­mi­tés au RGPD pour­ront être sanc­tion­nées. Elle pré­ci­se­ra cer­taines zones de flou, ins­tau­re­ra peut-être une nou­velle ca­té­go­rie d’en­tre­prises sou­mise à l’obli­ga­tion d’un DPO, … Les obli­ga­tions lé­gales se cu­mu­le­ront comme celles is­sues de la loi pour une éco­no­mie nu­mé­rique d’axelle Le­maire et, pour une mul­ti­na­tio­nale, la prise en compte de toutes les lois lo­cales spé­ci­fiques. On com­prend dès lors l’in­té­rêt d’une for­ma­tion de ju­riste pour exer­cer le rôle de DPO. À L’ADPO, nous re­com­man­dons à toutes les en­tre­prises qui ont à l’époque nom­mé un CIL de conti­nuer dans la même dy­na­mique et de prendre les de­vants en nom­mant ra­pi­de­ment un DPO. •

Pro­pos recueillis par Pierre Lan­dry

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.