Dpo kezako ?

Publié en Avril 2016, entré en application le 25 mai 2018, Le RGPD (ou GDPR) est le règlement européen sur la protection des données … que le monde nous envie. Il impacte les organismes et les entreprises opérant traitement de données à caractère personnel sur les résidents européens. Le RGPD poursuit plusieurs objectifs, parmi les principaux :

  • Uniformiser au niveau européen la réglementation sur la protection des données.
  • Responsabiliser davantage les organismes et entreprises en développant l’auto-contrôle.
  • Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).
  • Instiller la mise en place d’une nouvelle gouvernance en créant la fonction de Délégué à la Protection des Données (dpd) ou Data Protection Officer (dpo).

La Californie, “patrie” de Apple et de Google, se démarquant des 49 autres états US, a adopté une législation inspirée de ce texte.

Afin que chacun puisse faire valoir ses droits, la CNIL publie la liste des dpo. Pour des raisons de confidentialité, je ne publierai ici aucun nom de personne physique.

Au sein du territoire PEMB, ayant à gérer des données personnelles (état civil, listes électorales, …), chaque mairie doit donc nommer un dpo. Sur les données publiées par la CNIL, voici le trio de tête :

  • Bry (25/05/18),
  • Saint Mandé (25/05/18) ,
  • Nogent sur Marne (30/05/18) .

Mais la course n’est peut être pas finie. Le 11ième est arrivé le 12/10/2019 et au regard des données publiées par la CNIL, il resterait donc deux retardataires.

Le texte du RGPD prévoit que le dpo peut être interne ou externe à l’entité.
Une seule commune du territoire a décidé d’externaliser cette fonction … dans l’Oise.
Le territoire PEMB n’a pas désigné de dpo (recherche sur siren 200057941 ).
Les 13 communes auraient pu s’accorder pour nommer un seul dpo au niveau du territoire et que chaque commune désigne ce dpo comme leur dpo externe. Je me demande donc si le 1er choix était un choix éclairé et si les dpo nommés au sein de chaque mairie on fait la 1ière chose à faire après avoir été nommé : lire le RGPD et surtout le comprendre.
C’est un choix d’organisation.
Au niveau du territoire, ce serait là un joli poste d’observation, avec la possibilité d’évaluer, de comparer les process et les meilleures pratiques au sein de chacune des communes du territoire, afin de construire cette “confidentialité par conception” et cette “responsabilité”. J’aurai pu dire “benchmarking”, “best practices”, “privacy by design” (un objectif du rgpd), “accountability” (une obligation du rgpd), mais là, cher lecteur, j’aurai eu peur de te perdre.

Une fois le dpo nommé ou désigné, c’est bien là que tout commence.
La fonction de dpo demande à la fois des compétences juridiques – l’aspect Règlement -, des notions de sécurité – l’aspect Protection -, des connaissances en administration et informatique – l’aspect Données – et nécessitera d’acquérir la connaissance du “métier” de l’organisme afin, entre autres, de formaliser ses traitements.

Parce qu’elle sert une noble cause, la protection de son prochain, la voie vers la mise en conformité au RGPD est un beau voyage … Et un travail qu’il faut remettre sans cesse sur l’ouvrage.

==================================================
Quelques considérations “techniques” :

Le dpo n’est pas juste une boîte mail, il est une personne physique ou morale. Une entité qui désigne un dpo externe doit s’en assurer.
Il n’est pas possible de faire de “chaînage” de dpo externes (Entité A qui désigne B qui désigne C qui désigne …).
Il n’est donc pas possible de faire de “boucle” de dpo externes (Entité A qui désigne B qui désigne A).
Le dpo doit s’auto-appliquer le RGPD : Lorsqu’un dpo traite une requête d’une personne au titre du RGPD, il manipule là des données personnelles (la requête). Il doit tenir un historique des requêtes reçues et actions menées pour qu’en cas de litige, il puisse produire tous les éléments auprès des tribunaux. Ces processus (de traitement de la requête) sont aussi décrits dans le Registre des Activités de Traitement (article 30 du RGPD).

==================================================

Pour comprendre la démarche évoquée dans cet article, vous auriez dû commencer par lire celui-ci.

Ce contenu a été publié dans Non classé. Vous pouvez le mettre en favoris avec ce permalien.