Date
16.05.2023
Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de quelques questions qui lui ont été posées par le DPI. Frank Mangelschots, DPO dans différentes zones de police, ancien élève et actuel « Stay Tuner » chez DPI, est heureux d’y répondre.
Comment vous êtes-vous retrouvé dans le rôle de DPO ?
Je suis DPO de 7 zones de police de Flandre orientale depuis 3 ans maintenant. J’ai été considéré pour ce poste lorsque l’ancien DPO a été recruté à l’Organe de contrôle COC.
Etant policier opérationnel, j’ai le grand avantage de travailler déjà avec toutes les bases de données depuis 25 ans et donc de les connaître sur le bout des doigts. À mon avis, c’est un énorme avantage en tant que DPO, étant donné que les conseils concrets peuvent être basés sur des connaissances concrètes.
J’ai ensuite suivi avec succès la formation DPO et la spécialisation DPO-Police au DP-Institute.
Quelle partie des tâches d’un DPO préférez-vous ?
Ma préférence est de sensibiliser l’organisation à la protection des données.
En tant que DPO, je dispense régulièrement des sessions de formation et d’éducation pour sensibiliser les employés à leurs responsabilités dans le domaine de la protection des données et les former au bon traitement des données personnelles. Par exemple, la formation peut porter sur le RGPD, Titre 2, les obligations de l’organisation et des collaborateurs, les risques et comment les limiter.
J’aide, avec d’autres départements, à élaborer des lignes directrices et des politiques pour le traitement des données personnelles et je veille à ce qu’elles soient claires et compréhensibles pour tous les employés.
J’essaie de m’assurer que les employés sont régulièrement informés des changements dans les lois, les règlements ou la politique de l’organisation en matière de protection des données. Cela peut se faire, par exemple, via des newsletters, des e-mails ou d’autres canaux de communication internes.
J’organise des campagnes de sensibilisation pour sensibiliser les collaborateurs aux risques ou menaces spécifiques à la protection des données, comme les attaques de phishing ou les violations de données. Cela peut se faire, par exemple, par le biais d’affiches, de présentations ou de simulations.
En prenant ces mesures et d’autres, je peux accroître la sensibilisation à la protection des données au sein de l’organisation et veiller à ce que tous les employés prennent conscience de l’importance de la protection des données et de leur rôle à cet égard.
Quel événement dans le paysage de la vie privée vous a le plus affecté à ce jour ?
La police reçoit des rapports quotidiens faisant état de personnes âgées et de groupes vulnérables victimes d’escroqueries par hameçonnage après un vol antérieur de leurs données lors d’une attaque par ransomware.
Souvent, ces victimes se retrouvent avec un compte bancaire pillé où toutes leurs économies durement gagnées ont été volées par des attaquants se faisant passer pour une partie de confiance, comme une banque ou une agence gouvernementale, demandant à la victime de fournir des informations personnelles ou de cliquer sur un lien qui mène à un site Web malveillant.
L’attaquant peut également essayer de convaincre la victime de transférer de l’argent sur un faux numéro de compte bancaire.
Les personnes âgées sont souvent plus vulnérables aux attaques de phishing parce qu’elles sont moins familiarisées avec la technologie et moins familiarisées avec la façon dont les attaquants peuvent les cibler. De plus, les personnes âgées sont souvent plus susceptibles de fournir des informations personnelles et peuvent parfois être plus facilement persuadées de transférer de l’argent, surtout si l’agresseur se fait passer pour une entité de confiance ou si on les menace de poursuites pénales.
Il est donc important d’informer les personnes âgées et les autres groupes vulnérables des risques d’attaques de phishing et de les aider à reconnaître les e-mails, appels téléphoniques et messages suspects. Il est également essentiel de s’assurer que des mesures de sécurité adéquates sont en place pour protéger les données personnelles et atténuer les risques d’attaques de ransomwares.
Comment décririez-vous le rôle du DPO dans votre entreprise ?
Le DPO est chargé de superviser le respect du Règlement général sur la protection des données (RGPD) et des autres lois et réglementations relatives à la protection des données. Le titre 2 est également extrêmement important dans le contexte policier, étant donné que tout traitement dans le cadre judiciaire et administratif relève de celui-ci.
Ceci comprend:
Conseiller l’organisation sur ses obligations en matière de protection des données et mettre en œuvre les mesures appropriées pour se conformer à ces obligations.
Agir en tant que point de contact pour l’autorité de protection des données COC et les personnes concernées.
Conseiller sur les évaluations d’impact sur la protection des données (AIPD) afin d’identifier et de minimiser les risques liés au traitement des données.
Surveiller la conformité avec le RGPD et d’autres lois et réglementations sur la protection des données, et effectuer des contrôles internes sur l’utilisation et l’éventuelle mauvaise utilisation des bases de données de la police.
Collaborer avec divers services au sein de l’organisation, tels que l’informatique, les ressources humaines et la direction, pour s’assurer que la protection des données est intégrée aux processus opérationnels de la police.
Il est important qu’un DPO prenne au sérieux et exécute avec soin toutes les tâches relevant de son domaine de responsabilité pour s’assurer que l’organisation respecte les lois et réglementations en matière de protection des données et que les données personnelles des personnes concernées sont traitées de manière sécurisée et responsable.
Selon vous, quel est le plus grand défi pour un DPO ?
Le plus grand défi pour un DPO chez nous est de s’assurer que la zone de police est conforme à la législation en constante évolution et de protéger efficacement les données personnelles des personnes concernées, tout en permettant à l’organisation d’atteindre ses objectifs opérationnels de police. Cela est particulièrement difficile en raison de la complexité croissante du traitement et du stockage des données, ainsi que de la prolifération de menaces sophistiquées telles que les ransomwares et le piratage.
En outre, les nouvelles technologies, telles que l’intelligence artificielle et l’Internet des objets (IoT), les caméras corporelles, les drones, les caméras ANPR, peuvent apporter de nouveaux défis pour la protection des données personnelles et la vie privée des personnes concernées.
Un autre défi important pour un DPO est d’assurer la sensibilisation et le respect de la législation sur la protection de la vie privée parmi tous les employés d’une organisation. Cela nécessite un bon soutien de la politique et du chef de police en tant que responsable du traitement. Cela comprend l’élaboration et la mise en œuvre de politiques et de procédures de confidentialité efficaces, ainsi que la formation et l’éducation des employés à tous les niveaux.
Il est également important qu’un DPO travaille en étroite collaboration avec le service informatique et les autres services concernés au sein de l’organisation pour garantir que les mesures de confidentialité et de sécurité sont effectivement mises en œuvre et maintenues.
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
Le cloud computing a changé la façon dont les données sont stockées et traitées. Il offre des avantages tels que l’évolutivité, la flexibilité et les économies de coûts, mais il pose également des problèmes de protection des données. Par exemple, il est important de s’assurer que les données stockées dans le cloud sont correctement sécurisées et que des mesures appropriées sont prises pour éviter la perte de données.
l’Internet des objets (Internet of Things – IoT) fait référence aux réseaux en constante expansion d’appareils connectés à l’internet. Ces appareils collectent et échangent en permanence des données, ce qui présente des risques pour la confidentialité et la sécurité. Il est donc important de s’assurer que ces appareils sont correctement sécurisés et que la collecte et le traitement des données s’effectuent conformément à la législation sur la protection de la vie privée.
L’intelligence artificielle (IA) est une autre technologie qui a un impact majeur sur la protection des données. Par exemple, l’utilisation de l’IA peut conduire à de nouvelles façons d’analyser et de traiter les données, mais elle peut également entraîner de nouveaux risques pour la confidentialité et la sécurité. Il est donc important de s’assurer que les systèmes d’IA sont correctement sécurisés et que les données qu’ils utilisent sont conformes à la législation sur la protection de la vie privée.
Les technologies d’identification biométrique, telles que la reconnaissance faciale et les lecteurs d’empreintes digitales, sont de plus en plus utilisées pour l’authentification et l’identification. Cependant, ces technologies collectent des données personnelles sensibles et il est donc important de s’assurer que ces données sont correctement protégées et que l’utilisation de ces technologies est conforme aux lois sur la protection de la vie privée.
Quelles sont vos expériences dans le contact entre le DPO et la personne concernée/l’autorité de protection des données ?
Les contacts entre l’Organe de contrôle des informations policières (COC) et moi-même sont positifs. Il est important que le DPO soit transparent et clair sur la manière dont les données personnelles de la personne concernée sont traitées et protégées. La personne concernée a le droit de demander des informations sur le traitement de ses données personnelles et le DPO est chargé de répondre à ces questions.
Par exemple, nous recevons de nombreuses questions de citoyens qui souhaiteraient que leurs données soient supprimées des bases de données de la police. En collaboration avec le CoC, nous procédons donc aux rectifications nécessaires au sein de nos bases de données.
Dans le passé, j’ai eu plusieurs contacts avec l’autorité de contrôle lors du signalement et du suivi des fuites de données. Il y a aussi un suivi très strict de la part du superviseur.
Il est important que le DPO établisse une bonne relation avec les personnes impliquées et les superviseurs, afin qu’une communication ouverte et transparente puisse avoir lieu. Cela est essentiel pour assurer le respect de la législation sur la protection de la vie privée et protéger la vie privée des personnes concernées.
Quel est votre conseil en or pour placer la protection des données et la sécurité de l’information plus haut dans l’agenda de la direction ?
Mon conseil en or pour placer la protection des données et la sécurité de l’information plus haut dans l’agenda de la direction est de souligner qu’il ne s’agit pas seulement de se conformer aux lois et règlements, mais aussi de protéger l’image de la Police et les relations avec les citoyens.
Après tout, une violation de données peut non seulement nuire à la réputation, mais aussi à la perte de données très vulnérables et sensibles des citoyens.
En outre, il peut être utile de sensibiliser la direction aux coûts d’une violation de données et à son impact sur les opérations commerciales. Cela peut se faire, par exemple, en effectuant une analyse des risques et en élaborant une analyse coûts-avantages, dans laquelle les coûts potentiels d’une violation de données sont comparés aux coûts de mise en œuvre de mesures de sécurité adéquates.
Une autre façon de placer la protection des données et la sécurité de l’information plus haut dans l’agenda de la direction consiste à sensibiliser et à former les employés. En informant les employés sur les risques de cybercriminalité et l’importance de la sécurité de l’information, la sensibilisation peut être accrue et les employés peuvent être mieux impliqués dans la protection des données personnelles et des informations confidentielles.
Il est important d’impliquer la direction dans la mise en œuvre des mesures de sécurité et de rendre compte régulièrement des progrès et des résultats. Cela leur permet de voir l’impact de leurs investissements dans la protection des données et la sécurité des informations et de les promouvoir davantage.
J’ai moi-même une cellule de sécurité de l’information dans chaque zone de police. Nous nous rencontrons donc régulièrement pour échanger sur les suites à donner au plan de politique de sécurité de l’information.
Quel est votre couteau suisse en tant que DPO ?
L’un des outils les plus importants qu’un DPO peut utiliser est un bon système de gestion de la confidentialité. Cela peut aider à surveiller le traitement des données, à gérer les fuites de données, les activités de traitement de documents, les registres d’images, les accords de traitement, les AIPD.
Cela permet au DPO d’avoir rapidement un aperçu de l’état de la protection des données au sein de l’organisation et d’identifier et de traiter rapidement les risques et les problèmes.
Un autre outil important est la connaissance et l’expertise dans le domaine de la législation sur la protection de la vie privée et de la cybersécurité. Cela inclut non seulement la connaissance des lois et réglementations, mais également la connaissance des mesures de sécurité techniques et des meilleures pratiques en matière de protection des données. Cela permet au DPO de fournir des conseils proactifs sur la mise en œuvre des mesures de sécurité et d’identifier et de traiter les risques à temps.
Il est important de disposer d’un outil fiable permettant de trouver rapidement et efficacement des informations telles que la législation.
Enfin, la communication est un outil crucial pour un DPO. Il est important que le DPO puisse communiquer efficacement avec les différentes parties prenantes, telles que les autres DPO, les employés, la direction, les parties prenantes et les superviseurs.
En communiquant de manière claire et transparente sur le traitement des données et les mesures prises, le DPO peut gagner la confiance de toutes les parties prenantes et améliorer le respect de la législation sur la protection de la vie privée au sein de l’organisation.
Comment suivez-vous les nouvelles tendances en matière de technologie et de législation GDPR ?
Je me suis abonné à la formation Stay Tuned de DPI où nous pouvons suivre les décisions et la législation récentes pour rester au courant des nouvelles tendances et des développements en matière de technologie et de législation RGPD.
Je suis le podcast hebdomadaire de Dasprivé et je suis également connecté à certains groupes pertinents sur Linked-In : Il existe plusieurs plateformes qui se concentrent sur la confidentialité et la protection des données. En suivant ces sites Web et blogs, vous pouvez être rapidement informé des nouveaux développements et idées.
Des conférences et des événements sont organisés régulièrement pour discuter des derniers développements en matière de technologie et de législation RGPD. En assistant à ces événements, vous pouvez non seulement vous tenir au courant des nouvelles tendances et évolutions, mais également réseauter avec d’autres professionnels de la protection de la vie privée.
Enfin, un DPO peut également consulter des experts et des collègues dans le domaine de la technologie et de la législation RGPD. Il peut s’agir d’experts internes, tels que des informaticiens ou des conseillers juridiques, ou de consultants et spécialistes externes. En consultant ces experts, vous pouvez trouver rapidement et efficacement des réponses à des questions et problèmes spécifiques.
Vous travaillez également en tant que DPD au sein de la police et vous avez reçu une formation de DPD ? Dans ce cas, complétez votre formation avec les deux jours de formation DPD Police !
Date
16.05.2023
