[RGPD/GDPR] Du CIL au Délégué à la protection des données : cap vers la conformité
Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation. Aujourd'hui, Isabelle Cantero revient sur la necessaire mise conformité dans le cadre du Règlement Général de Protection des Données (RGPD/GDPR). Deadline : 25 mai 2018
Objectif 2018 : être conforme aux exigences du RGPD et pouvoir le prouver …
S’il est un sujet tendance sur les réseaux en ce moment, c’est bien le Règlement Général de Protection des Données (RGPD/GDPR). Pas un jour ne passe sans que plusieurs articles soient publiés sur ce texte ô combien impactant pour les citoyens comme pour les entreprises.
Appuyée par des messages souvent anxiogènes autour de la dead line d’entrée en application de ce Règlement (25 mai 2018) ou des sanctions annoncées (puisqu’il est question d’"amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu"), la nécessaire anticipation des différentes obligations prescrites est devenue une priorité en soi. Le 25 mai 2018, il est donc attendu de la part de tous les acteurs de la protection des données personnelles (les responsables de traitements comme les sous-traitants) que s’élève un chant à l’unisson : "Je suis conforme aux exigences du RGPD ET je le prouve".
D’abord s’organiser …
S’organiser, c’est choisir les bons outils. Or, la CNIL (Commission nationale de l'informatique et des libertés) elle-même ne fait-elle pas référence au CIL (Correspondant Informatique et Libertés) et au futur Délégué en tant qu’outil de la conformité ? Et pour cause, la responsabilisation des acteurs (entendez : le contrôle a priori des traitements via la mesure du risque sur la vie privée, le recours au Privacy by design, et plus globalement l’Accountability) est au cœur du RGPD. La nouvelle gouvernance, qui entraîne nécessairement une évolution organisationnelle, identifie le CIL/DPD (ou DPO pour reprendre l’acronyme anglais de Data Protection Officer très largement répandu) en tant qu’acteur central de la conformité en interne. Pour autant, le CIL ne doit pas être confondu avec Délégué et les nouvelles missions doivent être préparées.
Vérifier les situations de désignation obligatoire du Délégué
Pour le secteur public, tout est clair : désignation obligatoire pour les autorités et les organismes publics (hormis les juridictions) quels que soient les traitements de données personnelles mis en œuvre. En revanche, les deux conditions posées pour le secteur privé doivent être lues à la lumière des lignes directrices du G29. Pour rappel, le délégué doit être désigné: pour tout traitement de données portant sur des données sensibles ou relatives à des condamnations pénales et à des infractions ou "lorsque le traitement permet un suivi régulier et systématique des personnes à grande échelle". Notez, dans ce dernier cas, que cela intègre les traitements récurrents mais également périodiques et qui sont réalisés via un système organisé et méthodique. La notion de "grande échelle" a également été précisée et sans grande surprise renvoie à un gros volume de données mais aussi au périmètre géographique du traitement.
Doit-on rappeler que les États membres ont la possibilité de prévoir de nouvelles situations ? Autant dire que le sens du vent est et sera de se doter d’un Délégué, pilote incontournable de la conformité.
Comment préparer ses missions
Dès aujourd’hui, un état des lieux s’impose à savoir a minima l’établissement d’une cartographie des traitements mis en œuvre afin d’identifier les priorités du chantier "RGPD". Le futur Délégué devrait d’ores et déjà y être associé. En effet, pour l’exercice de ses missions de contrôle de l’application du RGPD (art. 39-1-b), d’information et de conseil sur les obligations légales dont l’analyse d’impact (art. 39-1-a), le Délégué doit avoir la meilleure vision possible des traitements et des procédures, a fortiori s’il remplace le CIL. Une très bonne connaissance du "Patrimoine Données Personnelles" de l’organisme est également nécessaire à l’exercice de son rôle d’interface avec la CNIL (art. 39-1-d) et avec le grand public. Il faut veiller à sa formation (pour la base, les ateliers de la CNIL, notamment) et à son accompagnement (le soutien d’organisations professionnelles comme l’AFCDP). Concrètement, la gouvernance de la donnée en interne devra souvent intégrer tout un réseau d’interlocuteurs au sein des Directions Métier de l’organisation.
Ainsi
Pour préparer la longue route vers la conformité au RGPD comme pour garder le cap, le délégué est l’indispensable acteur dont il faut préparer l’arrivée dès aujourd’hui.
Isabelle CANTERO, Avocat associé, Cabinet Membre du réseau JurisDefi
Administrateur Association Française des Correspondants à la protection des Données à caractère Personnel
SUR LE MÊME SUJET
[RGPD/GDPR] Du CIL au Délégué à la protection des données : cap vers la conformité
Tous les champs sont obligatoires
0Commentaire
Réagir