7 mois à GDPR: Pourquoi votre entreprise a besoin <br>d’un DPO dès maintenant

7 mois à GDPR: Pourquoi votre entreprise a besoin
d’un DPO dès maintenant

octobre 13, 2017 / by Trueson / GDPR

De nombreuses sociétés envisagent actuellement, ou cherchent à recruter, un délégué à la protection des données dans leur parcours vers la conformité GDPR. Une idée fausse commune est que seules les entreprises avec au moins 250 employés en auraient besoin. Ce sont des faits obsolètes (et potentiellement dommageables). Soyez prudent et revérifiez toutes les informations que vous obtenez – et supposez que votre entreprise a également besoin d’un DPO!

Qui est ce DPO? En résumé, le DPO surveille la conformité de l’organisation avec le GDPR. En un peu plus de détails, le DPO:

  • travaille dans tous les départements;
  • examine les politiques et les pratiques de l’entreprise;
  • effectue des audits internes;
  • est impliqué et fournit des conseils sur toutes les questions concernant la
  • protection des données personnelles;
  • rend compte aux plus hauts niveaux de gestion;
  • est le contact officiel de l’organisation pour coopérer avec l’autorité de protection des données.

Étant un sui generis au sein de l’organisation, le DPO bénéficie de droits et de protections spécifiques pour exécuter correctement ses tâches. Il ne peut pas être chargé sur la façon de faire de l’exercice de ses tâches par la direction, et ne peut être rejeté ou sanctionné pour avoir agi ainsi. C’est délibérément gênant pour les entreprises qui cherchent à interpréter le règlement un peu plus «pragmatiquement».

Le luxe obligatoire? Compte tenu du peu de temps qui reste pour atteindre la conformité, il existe un manque surprenant de méthodes officielles de certification pour les DPO. Alors que plusieurs organisations proposent des cours intensifs, sachez qu’aucun de ceux-ci n’a encore reçu le statut de certification par les organismes de certification officiels. En règle générale, l’expérience et la connaissance du droit pertinent, de la sécurité des données et du conseil organisationnel devraient constituer les caractéristiques fondamentales d’un bon DPO.

Malgré ce manque présumé de DPO certifiés, ce ne devrait pas être un luxe de consulter un de ces jours. Une bonne gouvernance des données personnelles est soit un dealmaker ou dealbreaker dans la plupart des industries. Ces «offres» sont un peu épicées par le GDPR – comme vous l’avez deviné. Nous savons que la nomination d’un délégué à la protection des données sera un facteur de pondération important pour les autorités chargées de la protection des données (DPA) lors de la vérification de la conformité au GDPR. De plus, les APD du Royaume-Uni (IOC), des Pays-Bas (AP) et du Canada (OPC) travaillent actuellement à la mise en place d’un cadre international de coopération pour l’application du GDPR. Une bonne compréhension et l’adhésion est clairement recommandable.

Vous vous demandez peut-être pourquoi le Canada et le Royaume-Uni, en tant que (futurs) États non membres de l’EU, se donnent la peine de consacrer des ressources à l’application de la réglementation européenne sur les données. Rappelez-vous simplement que le GDPR ne concerne pas seulement les entreprises ayant un établissement dans l’Union européenne, mais n’importe quelle entreprise, quel que soit l’endroit où il se trouve sur ce globe, pour autant qu’il soit impliqué dans le traitement des données des sujets de l’Union européenne. Cette portée pourrait potentiellement inclure à propos de toute organisation, alors laissez-nous une image claire de ce que cela signifie dans la pratique.

Ambiguïté et lignes directrices. Malheureusement, c’était plus facile à dire qu’à faire. Le texte le plus direct sur les DPO peut être consulté aux articles 37 à 39. Dans certaines juridictions nationales, la nomination d’un DPO était déjà obligatoire avant le GDPR. Dans le GDPR, c’est une nécessité absolue, à l’échelle paneuropéenne et à l’étranger, si les conditions des droits sont remplies. Le GDPR est un peu vague à ces conditions et davantage d’indications sont nécessaires pour traduire l’esprit de la loi en une interprétation plus pratique. Deux questions se distinguent spécifiquement, l’une et l’autre se référant à l’article 37 (1) (b):

  1. Que comprend le suivi des personnes concernées dans le cadre des «activités de base» d’une entreprise?
  2. Comment devrions-nous interpréter cette surveillance des personnes concernées « à grande échelle »?

Le WP29 a reconnu cette ambiguïté, et a publié des directives supplémentaires en Avril 2017. Ses trois directions:

  • La nomination d’un délégué à la protection des données est considérée comme une bonne pratique et est encouragée, même lorsqu’elle n’est pas obligatoire.
  • La nomination d’un DPO est obligatoire lorsque le traitement des données fait partie de l’activité principale d’une entreprise;
  • Si une entreprise a besoin d’une sorte de traitement de données personnelles pour atteindre ses objectifs principaux, un tel traitement est considéré comme une activité de base.

Formulons maintenant une réponse à nos questions, en utilisant le cas de PharmXample.

Cas: PharmXample
PharmXample est une société pharmaceutique spécialisée dans la fabrication, le marketing et la vente de médicaments génériques en Europe et en Afrique du Sud. Diriez-vous qu’une entreprise de base PharmXample traite des données personnelles? Probablement pas. Cependant, l’une de ses principales activités est le marketing et la vente de ses innovations. Pour ce faire, les représentants de PharmXample doivent avoir accès aux données des médecins et les utiliser. Bien que ces données soient des données B2B, les données identifient les personnes physiques et relèvent donc du champ d’application du GDPR. Sans ces activités, PharmXample ne pourrait pas se maintenir. Le traitement des données personnelles est donc inextricablement lié à l’une des activités principales de PharmXample, et un DPO est nécessaire.

En ce qui concerne la «grande échelle»: le WP29 note que l’on s’attend à ce que, au fil du temps, une pratique normalisée puisse se développer pour déterminer ce qu’il comprend exactement. Pour l’instant, les entreprises sont laissées à déterminer cela pour eux-mêmes. Cela rend risqué de supposer que vous êtes du bon côté. Gardez à l’esprit les lignes directrices et réalisez que lorsque vous êtes audité, la logique de GDPR vous demande de prouver que vous êtes explicitement exempté, plutôt que vice versa.

Nomination d’un DPO. Donc, vous avez décidé qu’il serait sage d’embaucher un DPO, comment vous y prendriez-vous? Vous pouvez choisir d’embaucher votre propre DPO à temps plein ou d’en embaucher un en externe en fonction de votre budget, de vos besoins et de votre contexte. À l’heure actuelle, il n’y a (encore) pas de lignes directrices claires sur la façon de reconnaître un DPO qualifié – autre que les références et l’expérience. Nous nous attendons à ce que, à partir de 2018, les certifications officielles DPO soient plus claires.

Nous pensons que la question ne devrait pas être si vous avez besoin d’un DPD pour être conforme; si quoi que ce soit, le DPO offre une occasion formidable de se préparer à l’avenir – où la gouvernance stratégique, durable et responsable des données personnelles détermine le succès à long terme.

 

 

1 https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacytoezichthouders-wereldwijd-versterken-samenwerking-bij-handhaving

2 https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party

Tags
Étiquettes : ,
Share