Accueil Carrières en droit Métiers du droit Professionnels du Droit

RGPD : tordons le cou à quelques « canards ».

L’AFCDP (Association des Correspondants à la protection des Données Personnelles) se réjouit de l’effervescence actuelle qui entoure le RGPD et croît à l’approche de la date fatidique du 25 mai 2018, date de son application.

Cette attention nouvelle portée aux enjeux liés à la protection des données personnelles et à la conformité Informatique et Libertés contraste avec l’attentisme observé par certains dirigeants ces dernières années. Pour preuve, l’explosion des offres d’emploi dans le secteur.
Cette attention devrait également soutenir les efforts des CIL – futurs Délégués à la protection des données- au sein de le entreprise : leurs messages commencent à être entendus, leurs analyses prises en compte, leurs conseils suivis, leur demande de budget satisfaites.

Mais ne va-t-on pas quelques fois un peu trop loin ?

Au fil des manifestations qu’ils organisent, les fournisseurs rivalisent d’ingéniosité pour établir un lien - aussi ténu soit-il - entre leurs offres et le règlement européen. Si certains abordent la chose sérieusement, les professionnels aguerris entendent, voient ou lisent quelques « approximations »... et celles-ci, répétées auprès notamment des DSI, compliquent la vie des futurs Délégués à la protection des données (ou DPO, pour Data Protection Officer) qui sont contraints de dépenser de l’énergie à tordre le cou à certains « canards ».

Il a été demandé aux adhérents de l’AFCDP (voir leur liste ici) d’en faire la liste, que voici.

« C’est à partir du 25 mai 2018 que nous aurons deux ans pour nous mettre en conformité. »

Faux. Les deux ans pour se préparer aux nouvelles règles commençaient le 25 mai 2016. Le RGPD entre en application le 25 mai 2018, date à laquelle les nouvelles règles deviennent opposables.

« La CNIL va attendre plusieurs mois avant de contrôler le respect du RGPD et d’infliger les premières sanctions. »

La CNIL a l’obligation de traiter les plaintes qu’elle reçoit. Dans ce cadre, même si elle a annoncé à plusieurs reprises qu’elle ne se précipiterait pas d’elle-même pour contrôler les responsables de traitement, elle sera bien obligée de veiller à l’application des nouvelles règles.

« Les sanctions les plus élevées seront réservées aux sociétés non européennes. »

Il est de notoriété publique que le nouveau quantum de sanction (jusqu’à 4 % du chiffre d’affaire mondial) a été pensé pour certains grands acteurs, américains pour la plupart. Mais il serait choquant qu’un même défaut de conformité, relevé chez un responsable de traitement européen, ne soit pas sanctionné de la même façon. Attendons de voir les premières décisions de sanction…

« Avec le RGPD, les sous-traitants deviennent co-responsables de traitement. »

Il ne faut pas confondre deux concepts différents : la coresponsabilité entre responsables de traitement (article 26 du RGPD) et la répartition des responsabilités entre un responsable de traitement et son sous-traitant. Dans ce dernier scenario, cette répartition doit être déterminée contractuellement.

« Il existe d’ores et déjà des outils (logiciel, solution hardware) certifiés RGPD dont l’achat permet au responsable de traitement d’être automatiquement et à 100 % conforme. »

Si la conformité tenait à l’acquisition d’une solution, cela se saurait. La conformité s’obtient par un effort soutenu et commun, combinant des mesures humaines (pour faire évoluer les mentalités et les réflexes), des mesures organisationnelles et des mesures techniques.

« Il suffit de cartographier les données. »

Les CIL, depuis 2005, tiennent à jour un inventaire des traitements de données à caractère personnel. Le futur Délégué à la protection des données devra faire de même. Cette liste est focalisée sur les finalités des traitements, et non sur les données traitées. Ce ne sont donc pas les données qu’un DPD cherchera à cartographier, mais bien ces finalités.

« Les analyses d’impact, prévues à l’article 35 du RGPD, sont une problématique purement informatique et doivent être menées par la DSI. »

Si les analyses d’impact comprennent effectivement une évaluation des risques informatiques (qu’il est naturel de confier à une DSI), l’évaluation des risques pour les personnes concernées (sur leur vie professionnelle, sociale et privée) est du ressort du Délégué à la protection des données, qui doit veiller à la complétude des événements redoutés et à la pertinence des mesures prévues pour traiter ces risques. C’est à lui également qu’il revient de présenter les risques résiduels au responsable de traitement afin que ce dernier les endosse.

« Avant le RGPD, on n’avait pas besoin du consentement des individus pour collecter les données à caractère personnel. Maintenant le consentement est obligatoire. »

Le consentement, comme actuellement, n’est que l’un des fondements sur lequel peut être basé un traitement (cf. article 6. Du RGPD). Le fait que le consentement est cité en premier et qu’il ait fait l’objet de débats intenses avant la promulgation du RGPD ont pu laisser croire que c’était le seul possible. Ce qui est sûr, par contre, c’est que le RGPD signe la fin des consentements « faibles » (silence vaut accord) pour ne retenir que les consentements d’excellente qualité (et qui peuvent être prouvés).

« Il suffit de chiffrer toutes les données personnelles pour être conforme au RGPD. »

La sécurisation des données n’est qu’une facette de la conformité au RGPD, mais pas la seule. De plus, si le chiffrement est une approche intéressante pour assurer la sécurité des données traitées, il faut bien que celles-ci, à un moment où à un autre, soient accessibles en clair à des utilisateurs ou à des applications.

Toutes les notions abordées ici seront étudiées le 24 janvier 2018, à l’occasion de la 12ème grande conférence annuelle organisée par l’AFCDP. Rebaptisée « Université des DPO » pour l’occasion, elle réunira plus de 500 professionnels de la conformité au RGPD à la Maison de la Chimie, à Paris. On y entendra, notamment, le CIL et le RSSI de la CNIL expliquer comment ils ont, en pleine synergie, préparé leur responsable de traitement au « choc » du RGPD.

Bruno Rasle
Délégué général de l’ AFCDP, Chef de projet Informatique et Libertés au sein de l’une des branches de la sécurité sociale, co-auteur des livres Halte au Spam (Eyrolles, 2003), « Correspondant Informatique et Libertés : bien plus qu’un métier » (AFCDP, 2015) et « Droit à l’oubli numérique » (Larcier, 2015), Bruno Rasle forme les CIL depuis 2007 dans le cadre d’un Mastère spécialisé et a créé un « Kit de survie Technique pour CIL, avocats et juristes ».
http://www.afcdp.net

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

390 votes

Vos commentaires

Commenter cet article
  • Le 31 octobre à 17:53 , par IT360CH
    Les citoyens européens, probable, mais pas que...

    Bonjour,

    Une des simplifications qui revient le plus souvent est de dire que le RGPD concerne les citoyens européens. Sauf que le règlement ne parle jamais de citoyenneté, seulement de lieu de résidence. Parler de citoyenneté revient à ignorer la notion d’espace européen, au sein duquel tout doit pouvoir transiter, les hommes, les produits, les capitaux... et donc les données.

    Bien sur que les personnes habitant dans les 28 pays européens sont concernés, mais pas que.
    N’importe quel individu, quelque soit sa nationalité, séjournant en Europe, peut, sous certaines conditions être concerné. Un Américain qui depuis son pays a réservé une voiture de location qu’il prendra a son arrivée en Espagne, a l’aéroport, est concerné par le RGPD...

  • Dernière réponse : 3 juin à 09:36
    Le 1er juin à 17:33 , par Charley
    Etudes sur les salaires des DPO

    Bonjour,

    Tout d’abord, merci beaucoup pour votre article qui est très intéressant pour les aspirants DPO et pour ceux qui sont de manière générale concernés par le sujet.

    La question du salaire étant toutefois un vrai casse-tête pour les personnes qui ne sont pas encore sur ce type de postes, je me permets de vous demander si vous n’avez pas à disposition d’autres données ou études sur les rémunération, en particulier pour les postes de débutants ?

    Bien cordialement,

    • Le 3 juin à 09:36 , par RASLE Bruno - L’auteur de l’article - Délégué général de l’AFCDP

      Ces dernières années, à chaque fois que nous avons réalisé des sondages auprès des CIL désignés, nous avons soulevé la question salariale. Les réponses montraient que la rémunération était le reflet du poste tenu précédemment par le CIL, avec des écarts considérables (entre un directeur juridique, par exemple, et un chef de projet).

      Les choses sont en train de changer avec les créations de postes et l’arrivée de sang neuf dans les entreprises (les premiers CIL étaient systématiquement désignés au sein des collaborateurs, de préférence pas très éloignés de la retraite).

      Nous avons donc réalisé un tout premier sondage (interne à notre association), auprès de nos 2.000 membres, sur le niveau de gratification qu’il faut proposer actuellement à un stagiaire Informatique et Libertés, et sur le niveau de rémunération qu’il faut actuellement proposer à un "junior Informatique et Libertés" pour s’attacher les talents.

      Les premiers enseignements seront consolidés par les informations que nous collectons dans le cadre de notre Job Board dédié aux DPO : https://www.afcdp.net/-Carrieres-et-Emplois-de-DPO-CIL-

      Dans le cadre de notre projet "Employabilité des DPO", nous prévoyons de publier prochainement un Observatoire de notre profession, qui comprendra des indications salariales.

      Quelques remarques complémentaires :

      • Certes, le salaire est important, mais la capacité du responsable de traitement (l’employeur) à "accompagner " et soutenir son DPO est cruciale. Peut-être serez-vous prêt à accepter un salaire (légèrement) inférieur s’il est prévu de vous faire bénéficier de conférences, de formations et d’une adhésion à une association de professionnels ?
      • Il va être très intéressant d’observer si les pays limitrophes (je pense à l’Angleterre et aux Pays-Bas principalement) ne vont pas "aspirer" les meilleurs candidats français, en les attirant par leur niveau de salaire plus élevé (approche anglo-saxonne qui donne la priorité aux compétences plutôt qu’au diplôme).
      • Concernant les stages, il ne faut pas s’intéresser qu’à la gratification. Ainsi, même si cela paraît moins "sexy" qu’un stage au sein d’une grande entreprise très connue, un stage au sein d’une collectivité (département, grande mairie, région) est TRES formateur, ces responsables de traitement mettant en oeuvre une variété incroyable de traitement, avec des contraintes très fortes.

      Sur tous ces sujets, je vous invite donc à rester à l’écoute (nous diffusions une lettre mensuelle gratuite https://www.afcdp.net/-Lettre-d-information-

      Cordialement

      Bruno Rasle - Délégué général - delegue.general chez afcdp.net - Tel. 06 1234 0884 - www.afcdp.net