L’entrée en application du règlement général n°2016/679 sur la protection des données à caractère personnel (RGPD) le 25 mai 2018 introduit un nouvel acteur, véritable clé de voûte de la conformité, le Délégué à la protection des Données (Data Protection Officer – DPO).
Le DPO est un acteur indépendant qualifié, dont la désignation est obligatoire pour certains organismes. Indépendamment de cette obligation, tout acteur devrait s’interroger sur l’opportunité de désigner un DPO dans le cadre d’une stratégie de gouvernance en matière de protection des données.
Dans le cadre de ses missions définies à l’article 39 du RGPD, le DPO doit veiller à la conformité du traitement mis en œuvre par le responsable du traitement ou le sous-traitant à la règlementation applicable à la protection des données à caractère personnel et notamment au RGPD. Ainsi, le DPO accompagne et guide les équipes métiers du responsable du traitement ou le sous-traitant au quotidien.
A ce titre, le DPO doit adopter certains réflexes afin de s’assurer de la conformité des activités de traitement de l’entité qui l’a désigné. Mathias Avocats a dressé une liste pour les futurs DPO recensant les différents réflexes essentiels à adopter.
Premier réflexe : vérifier le respect des principes fondamentaux
Le DPO doit s’assurer que le responsable du traitement ou le sous-traitant respecte les principes fondamentaux de la protection des données tant au stade de la définition du traitement, qu’au stade de sa mise en oeuvre. A titre d’illustration, figurent ci-dessous des vérifications que le DPO doit effectuer.
Deuxième réflexe : évaluer les mesures techniques et organisationnelles pour préserver l’intégrité et la confidentialité des données à caractère personnel
Dans ce cadre, le DPO est notamment amené à se demander :
- Quelles sont les mesures de sécurisation globale du système d’information mises en place ? Il peut s’agir par exemples de restrictions d’accès aux locaux, de pare-feu ou d’un verrouillage automatique des postes individuels.
- Quelles sont les mesures techniques et organisationnelles spécifiques mises en place ? Il peut notamment s’agir de chiffrement, traçabilité des accès logiques, pseudonymisation ou encore d’une clause de confidentialité renforcée pour les personnes accédant aux données à caractère personnel.
Troisième réflexe : déterminer la nécessité de réaliser une analyse d’impact préalable
L’analyse d’impact préalable à la mise en œuvre du traitement des données à caractère personnel est une obligation à la charge du responsable du traitement, dans certains cas. Cependant, le DPO est tenu de conseiller et de contrôler le respect du RGPD sur ce point. A ce titre, il doit déterminer la nécessité pour le responsable du traitement de réaliser une analyse d’impact. Dans ce contexte, les questions suivantes peuvent se poser :
- Le traitement figure-t-il sur l’une des deux listes recensant respectivement les traitements dispensés et les traitements obligatoirement soumis à une analyse d’impact ?
- Si ce n’est pas le cas, le traitement présente-t-il des risques pour les droits et libertés des personnes concernées ? Le DPO doit notamment se référer aux critères définis par le G29 dans ses lignes directrices sur l’analyse d’impact du 4 avril 2017.
Quatrième réflexe : garantir le respect des droits des personnes concernées
Le DPO est le point de contact des personnes concernées. Afin que celles-ci puissent exercer leurs droits, le responsable du traitement doit s’assurer que des mesures en ce sens ont été prises. Dans ce contexte, le DPO doit vérifier l’information délivrée aux personnes concernées.
Cinquième réflexe : vérifier les modalités de participations éventuelles de sous-traitant(s)
Rappelons qu’il appartient au responsable du traitement, lorsqu’il fait appel à un sous-traitant, de vérifier que ce dernier présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).
Dans le cadre de ses missions, le DPO peut s’assurer de ces garanties en s’adressant à son homologue, lorsque le prestataire a désigné un DPO, ou en sollicitant des équipes métiers les éléments de nature à justifier de la maturité du prestataire notamment en :
- demandant les justificatifs de certifications, d’adhésion à des codes de conduite ou encore en demandant les résultats d’un audit ad hoc sur pièces (fourniture de pièces telles que la politique de protection des données…).
- analysant le contrat et plus particulièrement en vérifiant que le contrat contient une clause de protection des données efficace, définissant clairement les rôles et responsabilités de chacun ainsi que les instructions du responsable du traitement.
Si vous souhaitez en lire davantage sur le Délégué à la protection des données, Mathias Avocats est heureux de vous annoncer la publication d’un ouvrage consacré à ce sujet, intitulé « Le Délégué à la protection des données (DPO) – Clé de voûte de la conformité » et édité par la Revue Banque.