Un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) a-t-il un r\u00f4le \u00e0 jouer dans l\u2019impl\u00e9mentation du RGPD d’une entreprise ? Cela semble une \u00e9vidence, mais la r\u00e9ponse \u00e0 cette question est plut\u00f4t nuanc\u00e9e.<\/p>\n
Si l\u2019on observe l\u2019\u00e9volution du droit \u00e0 la protection des donn\u00e9es dans le temps, force est de constater que le principe de \u2018responsabilit\u00e9\u2019 ne fait que gagner en importance. Dans le droit \u00e0 la protection des donn\u00e9es, l\u2019accent est de plus en plus mis sur le respect des r\u00e8gles. Le r\u00e9gulateur a ainsi litt\u00e9ralement repris le terme \u2018responsabilit\u00e9\u2019 dans les principes de base du r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es, le RGPD.<\/p>\n
Dans la\u00a0pratique<\/a>, cela signifie pour les entreprises qu\u2019elles doivent pr\u00e9voir toutes sortes de proc\u00e9dures, documents et analyses d\u00e9montrant vis-\u00e0-vis d\u2019une autorit\u00e9 de contr\u00f4le qu\u2019elles traitent les donn\u00e9es \u00e0 caract\u00e8re personnel de mani\u00e8re correcte. Il s\u2019agit concr\u00e8tement de l\u2019\u00e9tablissement d\u2019un registre des activit\u00e9s de traitement, de la r\u00e9alisation d’une analyse de risque en cas de traitements \u00e0 risque, de la conclusion de contrats et d\u2019accords avec des partenaires avec lesquels des donn\u00e9es \u00e0 caract\u00e8re personnel sont \u00e9chang\u00e9es, de la notification obligatoire des violations et de la d\u00e9signation d’un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD).<\/p>\n Les entreprises doivent donc s\u2019atteler \u00e0 transposer les obligations qui leur sont impos\u00e9es par le RGPD dans la pratique. Un r\u00e9cent\u00a0rapport<\/a>\u00a0de\u00a0l\u2019Autorit\u00e9 de protection des donn\u00e9es<\/a>\u00a0indique que les entreprises ne sont pas encore suffisamment inform\u00e9es des diff\u00e9rentes obligations qui leur incombent. Quoi qu\u2019il en soit, leur parcours d\u2019impl\u00e9mentation d\u00e9butera par l\u2019acquisition personnelle de connaissances ou par la d\u00e9signation d’un expert, voire m\u00eame d’un DPD. Mais un DPD peut-il \u00eatre impliqu\u00e9 dans l\u2019impl\u00e9mentation et la pr\u00e9servation des obligations susmentionn\u00e9es\u00a0?<\/p>\n Le point de d\u00e9part pour r\u00e9pondre \u00e0 cette question est l\u2019ind\u00e9pendance qui est li\u00e9e au r\u00f4le du DPD. On entend par ind\u00e9pendance que le DPD\u00a0est consid\u00e9r\u00e9<\/a>\u00a0comme un conseiller, une source d\u2019inspiration et un contr\u00f4leur. Confier l\u2019impl\u00e9mentation au DPD comporte autrement dit un certain risque\u00a0: il est possible que le \u2018contr\u00f4leur\u2019 doive appr\u00e9cier sa propre impl\u00e9mentation. Il devient ainsi \u00e0 la fois juge et partie, ce qui nuit \u00e0 l\u2019ind\u00e9pendance.<\/p>\n En pratique, le DPD peut \u00eatre davantage impliqu\u00e9 dans la gestion de l\u2019entreprise que cela n\u2019est admis au sens strict. Les organisations n\u2019ont ni la capacit\u00e9, ni la culture pour d\u00e9signer une personne qui donne ses ordres sans mettre elle-m\u00eame la main \u00e0 la p\u00e2te. En outre, le domaine de la protection des donn\u00e9es est encore r\u00e9cent, ce qui fait en sorte que les DPD fra\u00eechement form\u00e9s collaborent volontiers \u00e0 l\u2019impl\u00e9mentation des obligations afin d\u2019acqu\u00e9rir de l\u2019exp\u00e9rience sur ce qui fonctionne et ne fonctionne pas au sein d’une organisation. Il ressort de nos observations que le DPD est dans de nombreux cas charg\u00e9 de l\u2019impl\u00e9mentation du RGPD dans l\u2019entreprise.<\/p>\n Comment le DPD peut-il participer \u00e0 l\u2019impl\u00e9mentation sans violer le principe d’ind\u00e9pendance ? Nous \u00e9num\u00e9rons dans le tableau ci-dessous quelques obligations importantes impos\u00e9es par le RGPD. Nous indiquons pour chaque obligation dans quelle mesure le DPD peut aider \u00e0 les impl\u00e9menter.<\/p>\nLe r\u00f4le ind\u00e9pendant<\/h3>\n
Le DPD en tant qu’un implementor<\/h3>\n
Obligation<\/strong><\/td>\n| R\u00f4le du DPD<\/strong><\/td>\n<\/tr>\n | Registre des activit\u00e9s de traitement<\/td>\n | Le DPD peut tenir le registre \u00e0 jour. Ce registre peut en effet servir pour le DPD de tableau de bord ou de point de r\u00e9f\u00e9rence. Il faudra toutefois g\u00e9n\u00e9ralement aller chercher les connaissances qui sont n\u00e9cessaires pour compl\u00e9ter le registre aupr\u00e8s des collaborateurs de l\u2019entreprise.<\/td>\n<\/tr>\n | Analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es<\/td>\n | Une telle analyse ne peut pas \u00eatre effectu\u00e9e par le DPD. Le DPD joue en effet un r\u00f4le consultatif explicite dans cette analyse de risque. Le DPD peut toutefois (aider \u00e0) d\u00e9finir la m\u00e9thodologie et contribuer \u00e0 d\u00e9terminer les \u00e9chelles de risque. Le DPD peut aussi donner des formations sur la mani\u00e8re dont l\u2019analyse doit \u00eatre r\u00e9alis\u00e9e.<\/td>\n<\/tr>\n | Exercice des droits de la personne concern\u00e9e<\/td>\n | Lorsqu’un client r\u00e9clame des donn\u00e9es ou souhaite consulter ou effacer des donn\u00e9es, il convient en premier lieu de v\u00e9rifier si le client concern\u00e9 a effectivement droit au traitement demand\u00e9. Ceci requiert g\u00e9n\u00e9ralement une analyse juridique dans le cadre de laquelle le DPD peut apporter son aide. Le DPD doit conseiller la direction (\u00e9ventuellement sur la base de conseils au cas par cas ou d\u2019accords-cadres). La direction peut toutefois ne pas tenir compte de l\u2019avis d\u2019un DPD et rejeter une demande de consultation, par exemple, m\u00eame si le DPD conseille d\u2019acc\u00e9der \u00e0 la demande. Il semble moins \u00e9vident que le DPD accomplisse cette t\u00e2che dans de telles situations\u00a0: le DPD doit alors agir \u00e0 l\u2019oppos\u00e9 de l\u2019avis qu\u2019il a donn\u00e9. Conclusion\u00a0: en pratique, le DPD est souvent charg\u00e9 de ces t\u00e2ches, mais une bonne entente avec la direction est toujours indispensable. Confier cette t\u00e2che au DPD n\u2019est autrement dit pas une meilleure pratique. Le DPD ne peut l\u2019accomplir qu\u2019\u00e0 condition d\u2019avoir des accords clairs avec la direction et de fournir un feed-back \u00e0 celle-ci.<\/td>\n<\/tr>\n | Notification\/communication des fuites de donn\u00e9es<\/td>\n | Le m\u00eame raisonnement que pour l\u2019exercice des droits de la personne concern\u00e9e s\u2019applique \u00e0 cette obligation. Le DPD peut aider avec les obligations administratives concernant la notification \u00e0 l\u2019autorit\u00e9 de contr\u00f4le et la communication \u00e0 la personne concern\u00e9e en cas de violation. La d\u00e9cision de proc\u00e9der ou non \u00e0 la notification et \u00e0 la communication est prise par la direction, sur les conseils du DPD. En pratique, c\u2019est souvent le DPD qui proc\u00e8de \u00e0 la notification effective. La communication est en pratique de pr\u00e9f\u00e9rence faite par un expert en communication, apr\u00e8s approbation par la direction et sur les conseils du DPD.<\/td>\n<\/tr>\n | S\u00e9curit\u00e9 de l\u2019information et protection des donn\u00e9es d\u00e8s la conception ou par d\u00e9faut<\/td>\n | La mission la plus technique est la s\u00e9curisation de l\u2019information. Il s\u2019agit dans la pratique souvent de l\u2019impl\u00e9mentation de mesures techniques. La mesure dans laquelle le DPD s\u00e9curise effectivement les donn\u00e9es ou int\u00e8gre des syst\u00e8mes de s\u00e9curit\u00e9 d\u00e9pend autrement dit en premier lieu des connaissances du DPD. Combiner la fonction de DPD avec la t\u00e2che d\u2019expert en s\u00e9curit\u00e9 op\u00e9rationnel n\u2019est toutefois pas recommand\u00e9 et m\u00eame \u00e0 d\u00e9conseiller.<\/td>\n<\/tr>\n | Contrats avec des partenaires<\/td>\n | Les accords contractuels qui doivent \u00eatre conclus avec un partenaire vont souvent plus loin que la protection des donn\u00e9es. Nous nous concentrons ici uniquement sur les accords qui traitent de la protection des donn\u00e9es\u00a0: le contrat de sous-traitance. Dans la pratique, le DPD n\u00e9gociera souvent lui-m\u00eame ce contrat avec les fournisseurs. Le DPD conseillera en fin de compte \u00e0 la direction de signer ou ne pas signer le contrat. Le DPD doit \u00e0 cet \u00e9gard \u00e9galement informer le responsable du traitement d\u2019\u00e9ventuels manquements. Une fois le contrat sign\u00e9, il importe \u00e9galement d\u2019en assurer le suivi\u00a0: le DPD peut apporter son aide \u00e0 cet \u00e9gard en sa qualit\u00e9 de contr\u00f4leur de la protection des donn\u00e9es.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n | <\/p>\n","protected":false},"excerpt":{"rendered":" Un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD) a-t-il un r\u00f4le \u00e0 jouer dans l\u2019impl\u00e9mentation du RGPD d’une entreprise ? Cela semble une \u00e9vidence, mais la r\u00e9ponse \u00e0 cette question est plut\u00f4t nuanc\u00e9e. Impl\u00e9mentation RGPD dans la pratique Si l\u2019on observe l\u2019\u00e9volution du droit \u00e0 la protection des donn\u00e9es dans le temps, force est de […]<\/p>\n","protected":false},"author":4,"featured_media":4614,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[30],"tags":[],"class_list":["post-4632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=4632"}],"version-history":[{"count":7,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4632\/revisions"}],"predecessor-version":[{"id":13608,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4632\/revisions\/13608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media\/4614"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=4632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=4632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=4632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}} |