RGPD #6 - Comment mettre en place le RGPD dans son entreprise ?

03.11.17
application-rgpd-entreprise

Avec la mise en place du RGPD, toutes les organisations européennes (entreprises, associations, collectivités…) qui traitent des données personnelles vont devoir mettre en place des actions pour être en conformité avec ce nouveau Règlement.


Parmi elles, la création d’un registre des traitements pour presque toutes les organisations va être une priorité d’ici mai 2018. Et c’est ce document qui va être au cœur des préoccupations des quatre principaux acteurs de la mise en œuvre du RGPD : le responsable de traitement, le DPO, les cotraitants et sous-traitants.


Avant d’expliquer le rôle de tous ces acteurs, il est important de comprendre ce qu’est le registre des traitements, clé de voûte du Règlement.

Le registre des traitements

Le registre des traitements est un fichier qui liste de façon exhaustive tous les traitements de données personnelles ainsi que leurs caractéristiques.

Il n’est obligatoire que pour les organisations de plus de 250 salariés et pour les entreprises de moins de 250 salariés qui mettent en œuvre des traitements qui :

  • Comportent un risque pour les droits et libertés des personnes concernées ;
  • Ne sont pas occasionnels ;

  • Portent notamment sur les catégories particulières de données.

Il est néanmoins conseillé à toutes les organisations de tenir ce registre des traitements.
Le registre devra contenir :

  • Le nom et les coordonnées du responsable de traitement ;
  • Les différents traitements de données personnelles ;

  • Les catégories de données personnelles traitées ;

  • Les différentes catégories de personnes concernées ;

  • Les objectifs poursuivis par les opérations de traitements de données ;

  • Les acteurs (internes ou externes) qui traitent ces données (identification des sous-traitants éventuels) ;

  • Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne ;

  • Les durées de conservation ;

  • La description générale des mesures de sécurité techniques et organisationnelles.

Il existe un modèle tableur sur le site de la CNIL et l’offre logicielle se développe très rapidement en la matière.

Il est néanmoins nécessaire de préciser que les informations qui sont à indiquer dans le registre ne sont pas les mêmes pour le responsable de traitement et pour un sous-traitant, qui sont deux des acteurs de la mise en en œuvre du Règlement dans les organisations.

Les acteurs de la mise en en œuvre du Règlement dans les organisations

Les deux principaux acteurs de la mise en œuvre du nouveau Règlement sont le Responsable du Traitement et le Data Protection Officer ou « DPO ».

Les autres acteurs qui sont spécialement visés par le Règlement dans leurs titres, leurs rôles et leurs statuts sont les sous-traitants et les cotraitants.

Mais il faut aussi évoquer ceux qui, sans que le Règlement ne les mentionne, seront actifs dans la mise en œuvre du Règlement, aux côtés du responsable du traitement.

Seront en première ligne les responsables des services informatiques (DSI), les directions juridiques et, dans les organisations où il y en a un, les RSSI (Responsables de la Sécurité des Systèmes d'Information).

Sont aussi concernés tous ceux qui dans l’organisme auront accès au système d’information ; ils doivent donc tous être formés ou au moins sensibilisés aux obligations du Règlement.

L’existence d’une charte pour l’usage des données personnelles sera pour cela un outil utile et probablement nécessaire.

Cette réforme va être l’occasion pour chacun d’aller au-delà de ses compétences de base et de s’intéresser selon les cas à la technique ou au droit.

Au minimum il y a toujours un responsable du traitement.

Le Responsable du Traitement

Nous aborderons la responsabilité qui pèse sur lui dans un prochain article. Avant, il faut d’abord comprendre de qui il s’agit.

Il est toujours au sommet de la hiérarchie de l’entreprise, de la collectivité ou de l’association ; le Responsable de Traitement est celui qui a la responsabilité de l’organisation.

Son rôle sera en pratique très différent selon qu’un DPO aura ou non été désigné.

Contrairement à un malentendu qui s’est rapidement répandu après la publication du Règlement, le DPO n’est ni systématiquement obligatoire… ni toujours nécessaire lorsqu’il n’est pas obligatoire.

S’il n’y a pas de DPO, il sera systématiquement nécessaire qu’une personne soit clairement identifiée dans l’organisation comme étant celle en charge des traitements et ce, principalement lorsque le Dirigeant ne se sera pas emparé du rôle.

Cette personne n’aura pas de statut légal et son titre pourra varier d’une entreprise à l’autre, le plus simple est de l’appeler Responsable de la Protection des Données (RPD).

Le Responsable des Traitement demeurera donc le responsable légal de l’application du RGPD et donc de la mise en œuvre de l’accountability, de l’utilisation des instruments ou encore de la tenue du registre des traitements.

La seule échappatoire pour lui est de signer une délégation de pouvoir mais de telles délégations sont complexes à écrire et ne peuvent en aucun cas exister au profit du DPO en raison de son statut.

La situation sera très différente quand un DPO aura été nommé.

Le DPO

Cet acteur très important de la mise en œuvre de la réforme a été créé par le nouveau Règlement. Il vient remplacer le Correspondant Informatique et Liberté (CIL) avec un rôle, un statut et surtout des pouvoirs beaucoup plus importants. Le CIL ne deviendra donc pas automatiquement DPO.

Pour Monsieur Bruno RASLE, délégué général de l'AFCDP, (l’association des CIL qui va devenir l’association des DPO), « Le CIL est légitime à devenir DPO… sous conditions ».

En français, le Data Protection Officer ou DPO peut être traduit par Délégué à la Protection des Données. Mais il semble que l’acronyme DPO se soit déjà imposé pour le désigner.

Il y a donc cinq questions à se poser au sujet du DPO : quand, qui, pourquoi, quel moyen, et comment.

Dans quels cas doit-on nommer un DPO ?

Il est obligatoire pour :

  • Les autorités ou les organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;

  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations.

Sont considérées comme des activités de base, les opérations clés de l’organisme, celles qui sont inextricablement liées à son activité et qui lui sont nécessaires pour atteindre ses objectifs.

Selon le G29 (l’organisation qui regroupe toutes les Autorités de contrôle de l’Union), ne sont pas considérées comme telles par exemple : les activités de paye et de support informatique.

Le G29 estime qu’un suivi régulier doit être compris comme opéré à des intervalles de temps réguliers sur une période donnée, cela peut être aussi un suivi ayant lieu de manière constante ou périodique.

Un suivi systématique est lui décrit comme mis en œuvre de manière préparée ou méthodique, dans le cadre d'une stratégie ou d'un projet prédéfini.

Enfin, pour le G29, un traitement sera à grande échelle au regard du nombre de personnes concernées par le traitement, du volume de données ou de l’éventail des données traitées. Il faudra aussi prendre en compte la durée ou le caractère permanent du traitement mis en œuvre ainsi que l'étendue géographique du traitement.

En dehors de ces cas de désignations obligatoires, la désignation d’un DPO est encouragée et lorsque ce choix existe, sa désignation auprès de l’autorité compétente sera une décision stratégique et importante de la direction de l’organisation.

La différence entre DPO et RPD réside dans le fait que le responsable du traitement aura l’obligation légale de suivre le conseil du DPO alors qu’il n’aura qu’un intérêt stratégique à le faire lorsqu’il s’agira d’un RPD.

La personnalité et les compétences du DPO seront donc fondamentales.

Qui peut être nommé DPO ?

Il doit être désigné sur la base de ses qualités professionnelles et de sa capacité à accomplir ses missions et pour cela il doit :

  • Posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données ;
  • Posséder une connaissance du secteur d’activité et de l’organisme pour lequel il est désigné ;

  • Disposer de qualités personnelles et d’un positionnement lui donnant la capacité d’exercer ses missions en toute indépendance.

L’indépendance est une notion fondamentale, il doit être protégé de tout conflit d’intérêt.

C’est la raison pour laquelle il ne peut être ni DSI, ni directeur juridique et qu’il ne doit pas appartenir à leurs services.

De notre point de vue, il peut cumuler ses fonctions avec celle de RSSI mais à la condition que ce soit le DPO qui ait, à titre complémentaire la fonction de RSSI et en aucun cas l’inverse. Et surtout que ce cumul ne permette à personne de porter atteinte à son indépendance.

Il paraît toutefois logique que les conseils de sécurité informatique que le DPO donnera puissent porter sur tout le système d’information de l’organisation et pas seulement sur le traitement de données personnelles.

Il doit être rattaché au plus haut niveau de la hiérarchie et donc directement au responsable de traitement.

Sa lettre de mission doit refléter cette indépendance.

Quelles sont les missions d’un DPO ?

Le DPO est chargé de mettre en œuvre la conformité au RGPD de l’organisme au sein duquel il a été désigné.

Il est principalement chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du Règlement et du droit national ;

  • de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;

  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Il n’est pas personnellement responsable en cas de non-conformité de son organisme avec le Règlement.

C’est pour ces raisons que le responsable du traitement sera dans l’obligation de suivre les conseils que le DPO lui donnera en toute indépendance. S’il ne le fait pas, le DPO sera dans l’obligation de relater ce refus lors d’un contrôle de l’autorité (en France la CNIL)…

Pour pouvoir accomplir cette mission il devra en avoir les moyens.

De quels moyens doit pouvoir bénéficier un DPO ?

Le DPO doit bénéficier du soutien de l’organisme  qui le désigne.

L’organisme devra donc :

  • s’assurer de l’implication du DPO dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation) ;
  • lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe…) ;

  • lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions…)

  • lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme) ;

  • veiller à l’absence de conflit d’intérêts (le DPO ne peut occuper des fonctions qui le conduisent à déterminer les finalités et les moyens d’un traitement, il ne peut pas être juge et partie).

Mais le DPO ne sera pas toujours un salarié de l’organisation, il pourra s’agir d’un prestataire externe.

Comment choisir son DPO ?

La désignation d’un DPO interne n’est pas toujours la solution et au regard du « profil » de ce type de poste, qui inclut un certain niveau de rémunération et des moyens importants à mettre à sa disposition ; cette désignation interne n’est pas toujours possible.

Pour cela :

  • Les organismes peuvent aussi désigner un délégué externe à leur structure qui exerce alors ses missions sur la base d'un contrat de service.
  • Le DPO peut, sous certaines conditions, être mutualisé, c’est-à-dire désigné pour un groupe d’entreprises.

Dans tous les cas :

  • Il doit être facilement joignable à partir de chaque lieu d’établissement ;
  • Il doit être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Selon le Contrôleur Européen de la Protection des Données, le RGPD entraînera le recrutement de 28 000 DPO dans l'Union Européenne. 

Ce poste important, haut placé dans la hiérarchie, bien payé, bénéficiant de pouvoir et de moyens, déclenche à l’heure de son apparition des ambitions et des passions.

Le responsable du traitement et le DPO sont les acteurs que le Règlement prévoit pour la mise en œuvre du RGPD dans l’organisation, il fixe aussi le régime juridique de deux autres acteurs qui étaient ignorés par les législations précédentes : le cotraitant et le sous-traitant.

Les cotraitants ou responsables conjoints du traitement

Le Règlement parle de responsables conjoints du traitement.

Lorsque deux responsables du traitement, ou plus, déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

Ils doivent définir de manière transparente leurs obligations respectives pour s’assurer du respect des exigences du Règlement.

Et notamment, ils doivent le faire en ce qui concerne l'exercice des droits de la personne concernée et un seul point de contact peut être désigné dans l’accord signé entre les responsables. 

Il faut des contrats mais les contrats n’ont d’effet que pour ceux qui les signent.

Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’entre eux quels que soient leurs accords.

Quant au sous-traitant, son statut et son rôle bénéficient d’une description plus large dans le Règlement.

Le sous-traitant

Le Règlement encadre les possibilités de recours à la sous-traitance et définit une responsabilité conjointe dans le traitement des données.
Il est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement.
Il s’agit d’une personne juridique distincte du responsable de traitement, qui est donc son client.
La loi impose au responsable de traitement un contrôle effectif sur le sous-traitant.

La CNIL a édité un guide pour accompagner les sous-traitants.
Elle y explique que les sous-traitants sont tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation.
Et que sont notamment concernés :
  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,

  • les sociétés de sécurité informatique,

  • les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données,

  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients,

Le sous-traitant ne traite les données que sur instruction documentée du responsable du traitement et doit prendre toutes les mesures de sécurité requises.

Il ne peut pas « re-soustraiter » sans autorisation écrite du responsable du traitement. 

Il doit aider le responsable du traitement à garantir le respect de ses diverses obligations.

Il doit tenir un registre des catégories de traitements effectués pour le compte du responsable du traitement et dans certains cas désigner un DPO.

Dans le prochain article, nous étudierons la nature et le régime de responsabilité qui est prévu par le Règlement et par la loi pour tous les responsables de traitements de données personnelles.




Pour aller plus loin sur le RGPD...