#interview #DPO_News #cyberisques : Albine Vincent Chef service des CILs au sein de la CNIL


Entretien #DPO_News  #Cyberisques News                        

 9 janvier 2017

 

 

DPO News-1-Entreprises-EUR-pas-pretes-1

 

Source Deloitte 2016 :http://cyberisques.com/mots-cles-5/571-etude-deloitte-2016-enjeux-cyber-2016-la-face-cachee-de-la-cybersecurite

 

 

 

Albine Vincent, Chef du service des CILs au sein de la CNIL:

"Tous les CIL ne deviendront pas tous automatiquement des DPO"

 

 

Disposez-vous d'une estimation du nombre de CIL en fonction début 2017 ? avec le reglement européen qui s’appliquera en mai 2018, qu’en sera-t-il ?

Les derniers chiffres indiquent 4722 CILs actuellement en poste pour plus de 17 704 organismes. Ces désignations sont actuellement facultatives. Avec le règlement, la désignation sera obligatoire sous certaines conditions, notamment dans le secteur public de type collectivités, administrations centrales... On estime que pour ce secteur là ce sont environ 50 000 organismes qui devront désigner un data protection officer (DPO). Bien entendu, les futurs DPO pourront être externalisés et nommés pour plusieurs entités. Ca sera probablement le cas pour les petites communes qui n’auront pas les compétences en interne.


Et pour les organisations privées ?

Il y a une confusion dans cette partie entre le régime actuel et celui prévu par le règlement pour mai 2018. Des cas de désignations obligatoires sont aussi prévues si les activités de base de l’entreprise exigent un suivi systématique et régulier à grande échelle des personnes concernées ou consiste à traiter des données sensibles, infractions ou condamnations à grande échelle. A l'image du secteur public, un DPO peut être désigné pour plusieurs entités d’une même entreprise.


Si un DPO est nommé est-ce automatiquement la fin de la mission du CIL ? tous les CIL deviendront-ils des DPO ?

Tous les CIL ne deviendront pas tous automatiquement des DPO. Ils ont vocation à le devenir mais tous ne le pourront pas. La transformation du CIL en DPO doit être l’aboutissement d'une stratégie interne menée sur le profil « sectoriel » et « organisationnel » du poste. Les CIL actuellement expliquent souvent qu'ils ont peu de temps pour réaliser leurs missions. Les dirigeants doivent donc tenir compte de ces contraintes car ils doivent donner les moyens au DPO sous peine de sanctions. Le G29 a précisé ces ressources dans ces lignes directrices sur le règlement.
Motivation, compétences comptent dans ce choix pour les CIL qui vont vouloir devenir DPO et dont la mission va au delà du déclaratif par exemple (procédures a mettre en place, réclamations, demandes des clients...)

 

Du point de vue de la CNIL, quel futur positionnement devra occuper le DPO au sein de l'organigramme ? Devra t-il par exemple bénéficier d'un sponsor auprès du COMEX de son groupe ?

A chaque organisation, son histoire et sa culture. Le positionnement de la fonction de DPO doit en tenir compte pour être efficace. Il est donc difficile de livrer le positionnement d'un DPO de facon générale. Il faut qu'il soit reconnu et légitime dans la culture de l'entreprise. Un rattachement à un secrétariat général peut être une piste. Les CIL sont actuellement issus des formations techniques mais dans les entreprises anglo-saxonnes à dimension internationale, ces mêmes postes sont positionnés au niveau du juridique par exemple. La fonction de DPO nécessite d'être aussi un bon communicant qui sait aussi convaincre. Il faut savoir oser pousser des portes. Il doit aussi montrer les bénéfices d'une gestion intelligente des traitements et des données pour l'entreprise. Pour ce qui concerne l’ « accountability » ce pilotage des données à termes peut être bénéfique pour l'image des entreprises (plus de confiance). En outre, la sensibilisation de l'ensemble des utilisateurs aux bénéfices d'une mise en conformité peut et doit déclencher de nouveaux réflexes.


Le DPO est au cœur de la mise en conformité des traitements au regard de la protection des données à caractère personnel. Quelles responsabilités propres à ce poste lui incombent ? Les partagent-ils avec un représentant légal tel que le mandataire social notamment devant une procédure de « class action » ?

Le règlement est clair: ce n’est pas le DPO qui est responsable juridiquement de la conformité, c’est l’organisme (responsable de traitement/sous traitant). A un niveau personnel, le DPO, sans être un salarié protégé au sens du droit du travail, bénéficie d’un statut qui le protège des sanctions qui interviendraient du fait de l’exercice de ses missions. En ce qui concerne une responsabilité pénale du DPO, elle pourrait être engagée selon les règles classiques comme pour chaque salarié, il n’existe pas de responsabilité pénale spécifique pour le DPO.


Une certification ou label CNIL spécifique à une mise en conformité GDPR (ou RGPD) est-elle envisageable pour 2018 ?

Une réflexion est en cours pour élaborer des référentiels au niveau européen, rien n’est finalisé à ce stade.

  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

  

@DPO_News

cyberisques.com

 


BONUS :

http://cyberisques.com/mots-cles-5/104-news/synthese/619-cyberisques-dpo-news-pour-7-dirigeants-sur-10-l-utilisation-de-la-donnee-accroit-le-risque-de-reputation-de-leur-entreprise


https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees


https://www.teachprivacy.com/gdpr-privacy-shield-training-requirements-faq/

 

 

GDPR / RGPD : rappel de certaines exigences du cadre réglementaire

Le GDPR met fin à la séquence du « déclaratif » propre aux CNILs européennes. Désormais ces dernières endosseront le rôle d'autorité et disposeront du pouvoir de sanctionner (jusqu'à 4% du CA ).

Le GDPR s'applique à toutes les entreprises ayant des activités impactant des citoyens européens. Un citoyen directement concerné par le traitement de ses données personnelles. Le règlement précise que ces traitements ne s'avèrent licites que si la personne concernée a donné son consentement de façon claire indubitable et démontrable à posteriori.

 

Sur le terrain: Trois étapes a mettre en oeuvre rapidement (moins de 500 jours avant l'application de la réglementation*) 

A partir de mai 2018, les organisations devront prouver leur mise en conformité. Voici quelques "exemples" de ce qui attend toutes les entreprises et organisations européennes ainsi que les entreprises non européennes mais en charge de traitements et de données de citoyens européens. 

 

Etape 1  organisationnelle et juridique:

Le régime juridique des traitements de données permettant d’identifier directement ou indirectement une personne est défini principalement par la directive européenne 95/46/EC, transposée en droit français en 2004 dans la loi « informatique et libertés » du 6 janvier 1978. C’est cette législation qui sera « impactée » par le GDPR de l’Union Européenne.

Le Data Protection Officer (DPO) ex-CIL dans bon nombre de configuration, va devoir détenir une double compétences technique et juridique, organisationnelle et opérationnelle, transversale et spécifique. Il aura en charge des opérations qui requièrent une identification des données à caractère personnel, une surveillance régulière et systématique de catégories particulières de données présentes et à venir (cf Interview:http://bit.ly/2i8hG9C )

 Le DPO devra composer avec l'ensemble des IT managers et bon nombre de membres des COMEX, Secrétariat général... Son "job description" implique la mise en œuvre de référentiels propres aux applications existantes et nouvelles (avec la notion « privacy in design ») sans oublier les données de zone grise propres au « Shadow IT ». Le tout s'intégrant dans une culture "corporate" et sectorielle. Un "job" pas si simple si l'on considère qu'au niveau des "outils", une étude réalisée fin 2016 aupres de décideurs IT français montre que moins de 60% des RSSI disposent d'outils de traçabilité des données et près de 70% d'entre eux n'utilisent pas d'outils de notification.  Ces considérations conduisent a s'interroger sur les moyens qui seront accordés aux DPO et les... budgets alloués.  

 

   

Etape 2  méthodologique:

Mise en place d'audits de conformité vis-à-vis des exigences du RGPD / GDPR

Etude d'évaluation des risques et des impacts sur la vie privée (EIVP) ou PIA (Privacy impact assesment)

Tenue de registres (à jour) des traitements de données personnelles et étude d’impact sur la vie privée en cas de risques élevés

Documenter (et être capable d’en apporter la preuve) les mesures de mise en conformité des traitements de données personnelles: notions de « Accountability » et de « pseudonymisation » des données ( les rendre « anonymes » de manière réversible)

...

 

Etape 3  technique et opérationnelle:  

Quelques outils nécessaires: identification de données sensibles, pseudominisation, anonymisation, cryptographie, traçabilité/DLP, stockage... 

Outils d'analyse des risques liés à la nature des données et aux traitements

Outils de notification des failles de sécurité portant sur des données personnelles

Outils de "développement" ex: Prendre des mesures de Data Protection by Design (dès la conception des traitements et applications )

  

* selon une enquête récente du cabinet Deloitte (Cyber 2016), seules 7% des directions d'organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre à l’heure de la transformation digitale des entreprises. Quel comportement vont-elles adopter face au défi posé par la mise en conformité ?

 http://cyberisques.com/mots-cles-5/571-etude-deloitte-2016-enjeux-cyber-2016-la-face-cachee-de-la-cybersecurite

 http://cyberisques.com/fr/mots-cles-8/572-cybersecurite-54-des-chefs-d-entreprises-eu-responsables

 http://reports.weforum.org/global-risks-2017/the-matrix-of-top-5-risks-from-2007-to-2017/

 

En savoir plus:

Actu: @DPO_News

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s avec en cadeau le "DPO BOOK 2017"

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires