Créée par le règlement européen de 2016 (1) afin de lutter contre le vol de données sensibles via les réseaux informatiques et internet, la réforme tend à renforcer et à unifier la protection des données pour tous les individus au sein de l'Union européenne. Ce règlement s'applique dès à présent à toute entreprise (automobile, hôtellerie, banque, site e-commerce, santé, objets connectés...) qui collecte et manipule des données clients, partenaires, données individuelles. Toutes les sociétés multinationales, PME, TPE, artisans, professionnels etc. gérant au moins un fichier clients sont concernés. La valeur du Règlement européen est supra nationale, de sorte qu'il s'impose à toutes les entreprises et à valeur de Loi (2).

#Enjeu n°3 : Nommer un DPO

Toute entreprise employant plus de 250 collaborateurs doit à partir de mai 2018, nommer un Délégué à la Protection des Données (DPO pour Data Privacy Officer).

Ce responsable des données de l'entreprise (data manager) veille à la compréhension et à la réussite d'une mise en conformité de la société à la GDPR.

Le DPO peut également être le CIL, c'est-à-dire le Correspondant Informatique et Libertés qui garantit la conformité de l'organisme dont il s'occupe à la loi Informatique et Libertés (sous la surveillance de la CNIL). C'est lui qui doit tenir à jour les registres et vérifier que les actions GDPR sont toujours d'actualité, réaliser des vérifications régulières et programmer les actions correctrices.

En effet, l'article 38 du Règlement européen précise les qualités professionnelles du DPO, à savoir qu'il est notamment chargé des missions suivantes :

  • Informer et conseiller le chef d'entreprise 
  • Contrôler la bonne application de la GDPR
  • Etre le contact entre l'entreprise et l'Autorité de Contrôle à savoir la CNIL en France
  • Etre le point de contact avec toutes les personnes concernées (ex : personnes, clients, fournisseurs, etc. dont l'entreprise collecte les données)
  • Etre consulté pour toute décision qui concerne des données privées 
  • Etre alerté et consulté lorsque qu'une fuite de donnée est constatée (ex : il applique la procédure de signalement)
  • Réaliser les analyses d'impact, déterminer les actions correctrices et vérifier l'exécution

Le DPO doit donc justifier de compétences juridiques avec une connaissance parfaite du RGPD, de connaissances en informatique et cybersécurité, mais aussi comprendre les enjeux business de la société tout en étant un bon communiquant et chef de projet.

Pour les entreprises de plus petite taille, la nomination d'un DPO est facultative mais vivement recommandée.

Tous les #enjeux GDPR 2018