01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Le DPO : acteur principal de la nouvelle gouvernance informatique et libertés

CIL DPO Gouvernance haas avocats
  • Actualité juridique, Base de données, BIG DATA, CNIL, Confidentialité, Contrats, Cybercriminalité, Cybersurveillance, Data, Données de santé, Données personnelles, Droit communautaire, Droit de l'Internet, E-Réputation, Fichier informatique, Information et libertés, Loi Informatique et libertés, Mention légale, Sanctions

Par Enzo FALCONIERI et Frédéric PICARD, avocat et Correspondant Informatique et libertés du Cabinet HAAS AVOCATS

S’il existe une distinction entre le CIL et le DPO, cette dernière n’est qu’en partie la résultante de textes et ne change pas la réalité du besoin pour le responsable de traitement, à savoir la nécessité de disposer d’un référent « Informatique et libertés » en son sein pour relever les défis du nouveau Règlement européen et de l’économie numérique.

L’arrivée du Règlement européen du 27 avril 2016 va bousculer les pratiques en matière de traitement de données à caractère personnel. En effet, les règles d’« accountability » posent de lourdes responsabilités sur le responsable de traitement et par voie d’incidence sur le CIL et le DPO.

La mise en place de règles de gouvernance constituera un outil fondamental pour veiller à la conformité des traitements au regard des Lois et Règlements applicables.

La CNIL en avait déjà perçu l’intérêt en proposant aux CIL un label « gouvernance » dès le 11 décembre 2014. Le Règlement européen confirme cet attrait pour la gouvernance.

Et pour cause, la gouvernance en matière de données personnelles fait référence à l’ensemble des règles, mesures et bonnes pratiques mis en œuvre au sein d’un organisme pour permettre une meilleure gestion et une meilleure protection des données personnelles.

Ainsi, la désignation d’un CIL ou d’un DPO constituera en soi une première étape vers cette mise en conformité puisqu’il sera l’intendant en chef placé au plus haut rang pour s’assurer du respect de la vie privée des personnes concernées.

Leur aide sera d’autant plus précieuse pour le responsable de traitement qu’il devra faire face à de nombreux challenges avant le 25 mai 2018, date d’entrée en application du Règlement européen.

1. D’une gouvernance suggérée à une gouvernance inéluctable

Le principe d’« accountability » désormais posé par le Règlement européen du 27 avril 2016 désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Alors que le CIL pouvait se sentir délaissé dans l’accomplissement de sa tâche, l’enjeu des sanctions pécuniaires posé par le Règlement a eu pour effet de projeter le DPO, et par voie d’incidence le CIL tant que la loi du 6 janvier 1978 n’a pas fait l’objet d’une modification, sur le devant de la scène.

Si le label gouvernance imposait de rattacher le CIL à un membre de l’instance exécutive, le Règlement impose en son article 38 3*qu’il fasse « directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».

Ainsi, le DPO et le CIL ont leur rôle à jouer dans la mise en place des procédures internes pour assurer cette « compliance » que ce soit en terme :

•d’organisation interne liée à la protection des données ;

•de méthode de vérification de la conformité des traitements à la loi Informatique et Libertés ;

•de gestion des réclamations et incidents.

A titre d’exemple, il conviendra de déterminer :

•le rôle et la responsabilité de chacun des acteurs impliqués dans la mise en œuvre de traitements précisant son organisation ainsi que les grands principes de protection des données applicables ;

•les politiques de protection des données personnelles à destination des personnes extérieures concernées par ses traitements

•les circuits de validation pour l’ensemble des activités liées à la protection des données et l’intégration du CIL dans ces circuits ;

•la mise en place d’outils de pilotage (notamment par la réalisation d’un bilan annuel d’activités) ;

•etc.

D’une manière générale, le DPO doit être associé à toutes les questions relatives à la protection des données à caractère personnel.

Les Guidelines du G29 précisent ainsi que « le fait de s’assurer que le DPO est informé et consulté dès le départ est de nature à faciliter le respect de la règlementation sur les données personnelles, assurer la mise en œuvre d’une protection des données dès la conception et doit, à ce titre, faire l’objet une procédure standard ».

C’est bien la preuve que le Règlement a voulu mettre le DPO comme pièce maîtresse au centre de l’échiquier et des préoccupations relatives aux données à caractère personnel.

2. La gouvernance, un pour tous, tous pour un

Si le DPO est le garant du respect des droits des personnes dont les données sont traitées, il n’est plus obligatoirement tout seul dans l’accomplissement de sa tâche.

Et pour cause, les règles de gouvernance ont pour objectif de faire participer l’ensemble des acteurs au traitement pour faciliter le travail du DPO.

Ainsi,

•Les études d’impact imposées par les principes de « Privacy by design » et « Privacy by default » nécessitent l’intervention de différents acteurs dans la chaine de validation du risque allant des opérationnels au juridique en passant par la direction, le service informatique et bien évidemment le DPO ;

•La création de « Comité Données Personnelles » constitué a minima de la direction générale, la direction juridique, la direction des systèmes d’informations, du DPO et de la direction des ressources humaines apporte une réelle valeur ajoutée dans l’appréhension des besoins et des contraintes de chacun pour le traitement des données à caractère personnel ;

•L’instauration d’un « Comité de gestion de crise » dans lequel le responsable de traitement, tenu à une obligation de sécurité et désormais de notification, pourra s’appuyer sur son DPO en cas de faille de sécurité et par voie d’incidence de violation de données à caractère personnel.

Si le DPO ou encore le CIL peut venir en aide au responsable de traitement et à l’ensemble des directions, l’organisme au sein duquel il exerce sa mission devra en contrepartie :

•s’assurer de l’implication du DPO dans toutes les questions relatives à la protection des données ;

•fournir au DPO les ressources nécessaires à la réalisation de ses tâches ;

•garantir une action en toute indépendance ;

•faciliter l’accès aux données et aux opérations de traitement ;

•veiller à l’absence de conflit d’intérêts.

***

Cette philosophie du « un pour tous et tous pour un » n’aura qu’un effet bénéfique dans la préparation de l’entreprise aux défis juridiques de 2018.

Et pour cause, le CIL et le DPO sont des contacts privilégiés pour le responsable de traitement en ce que :

•ils assurent une plus grande sécurité juridique par la mise en place notamment de procédure d’audit des traitements ;

•ils assurent une plus grande sécurité informatique et une plus grande fiabilité du traitement notamment grâce aux études d’impact ;

•ils simplifient les démarches et formalités administratives grâce à la tenue du registre des traitements ;

•ils détiennent un accès simplifié et personnalisé aux services de la CNIL ;

•ils constituent la preuve d’une démarche éthique et citoyenne en ce qu’il s’assure du respect de la vie privée des personnes.

Les responsables de traitement (entreprises, collectivités territoriales, etc.) auraient tort de se priver d’un tel outil, et ce d’autant plus que le DPO à l’instar du CIL peut être assisté ou encore mieux externalisé auprès notamment d’un cabinet d’avocats.

Pour toute demande d’information, contacter nous ICI.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com