Sécurité des données : quel rôle pour le DPO ?

Sécurité des données : quel rôle pour le DPO ?
Jérôme Deroulez revient, pour Décideurs juridique, sur le rôle, les fonctions du DPO et les enjeux auxquels il doit faire face.

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les organisations. Son rôle ? S’assurer que ces dernières respectent les règles imposées par le RGPD. Jérôme Deroulez revient, pour Décideurs Juridiques, sur le rôle, les fonctions du DPO et les enjeux auxquels il doit faire face en matière de sécurité des données.

La question de la sécurité des données personnelles constitue aujourd’hui un enjeu majeur pour les PME. Selon un récent rapport du Sénat, 43 % d’entre elles ont relevé un incident de cyber sécurité en 2020. Seize pour cent de ces attaques sont susceptibles de mettre en péril la vie d’une entreprise. Et ce, alors que les attaques au rançongiciel ont vu leur chiffre augmenter considérablement entre 2020 et 2021, selon l’Anssi. La nécessité de prévenir ce risque s’accompagne aussi de l’obligation (consacrée par l’article 32 du RGPD) de mettre en place un niveau de sécurité adapté aux risques en mettant en œuvre "des mesures techniques et organisationnelles appropriées". La question du rôle du DPO en matière de sécurité des données mérite donc d’être posée en raison de la diversité des missions qu’il doit assumer et les dispositifs qu’il doit installer.

Informer et conseiller l’entreprise

Le DPO est chargé d’informer et de conseiller les entreprises et les organisations sur les conditions à respecter pour être en conformité avec le RGPD. Il peut aussi engager des actions de sensibilisation et de formation, qui répondent aux préconisations et aux recommandations d’autorités de contrôle telles que la Cnil, qui sont régulièrement actualisées. Actions dont le Sénat a souligné qu’elles peuvent constituer des indicateurs efficaces des risques encourus ou des dispositifs établis en matière de sécurité des données. Ces dernières permettent également de concrétiser les actions déjà mises en œuvre et d’en garantir l’effectivité, notamment pour assurer une gouvernance effective. Un aspect de plus en plus souvent pris en compte par la Cnil dans le cadre de ses contrôles.

Le DPO peut également communiquer des informations et donner accès à des guides méthodologiques qui favorisent la prise en compte de bonnes pratiques en matière de sécurité des données. Il peut également avoir recours à des outils basés sur le legal design pour assurer une diffusion efficace de ces informations. Ceci, afin d’éviter une prise en compte imparfaite ou tardive.

Une approche proactive

L’article 39 du RGPD souligne également que le DPO doit tenir compte dans l’accomplissement de ses missions du risque associé aux opérations de traitement. En pratique, il doit intervenir largement, de la réflexion à la mise en place d’un projet, en utilisant certains outils comme les analyses d’impact sur la vie privée (AIPD). Ces outils intègrent la prise en compte des aspects relatifs à la sécurité des données.

Pour le DPO, le risque associé aux opérations de traitement peut être complexe en pratique, car il est de nature diverse et souvent lié à des projets internes (l’externalisation de certaines fonctions comme le traitement de la paie ou le marketing) ou externes (le recours à un prestataire lors de la mise en place d’un nouveau produit ou les relations avec de multiples partenaires en matière d’objets connectés par exemple). Pour autant, l’accent mis par le RGPD souligne la nécessité d’une approche proactive, en lien avec les obligations en termes de privacy-by-design, mais cette fois dédiées aussi à la sécurité des données.

Accorder au DPO les moyens nécessaires

Cette approche suppose que le DPO participe au suivi des projets en cours et joue son rôle de conseil en soulignant les risques existant en matière de sécurité des données en cas de non-conformité. À ce sujet, il faut relever les multiples références de la CNIL à propos des défauts ou des lacunes en matière de sécurité des données dans les sanctions prononcées depuis 2018 (2). Ces sanctions soulignent que la détermination et la mise en œuvre concrète et effective de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données constituent un enjeu central, que le DPO peut contribuer à définir, à renseigner et à documenter. Par exemple, répertorier les violations de données ou assurer leur prévention constituent des actions permettant d’assurer un suivi réactif et un pilotage d’une politique de conformité axée sur la pratique.

Ainsi, alors que la lutte contre le risque cyber constitue un enjeu majeur et un chantier d’envergure, assurer la sécurité des données personnelles l’est tout autant. Le DPO peut être, dans ce cadre, déterminant. Il apporte une réelle plus-value. À condition de lui accorder tous les moyens nécessaires, comme cela vient d’être rappelé par la Cnil dans son dernier guide pratique RGPD consacré au DPO.

 

(2) Par exemple dans sa délibération SAN 2019-005 du 28 mai 2019 Délibération SAN-2019-005 du 28 mai 2019 - Légifrance (legifrance.gouv.fr)

 

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Paroles de DPO

Chaque mois, Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, revient sur la place des DPO au sein des organisations et nous livre ses pistes pour qu'ils puissent remplir efficacement leurs missions.
Sommaire Comment être associé, en tant que DPO, à toutes les questions relatives à la protection des données ? Encadrement et gestion des transferts internationaux : quelle boussole stratégique pour le DPO ? Gouvernance et protection des données personnelles : une mission sur mesure pour le DPO ? Le data protection officer : l’art de savoir négocier
Un petit quiz avant l'été ?

Un petit quiz avant l'été ?

Le conseil de la rédaction pour des vacances sereines et reposantes ? Vérifier que l'actualité des six derniers mois est bien maîtrisée. À vous de jou...

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Le nouveau comité du label investissement socialement responsable (ISR), présidé par Michèle Pappalardo, travaille à sa modernisation. Les grandes lig...

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

La directive sur la protection des lanceurs d'alerte imposait comme date butoir de transposition par les États de l’Union européenne le 17 décembre 20...

Quels sont les sujets incontournables de l’été pour les DPO ?

Quels sont les sujets incontournables de l’été pour les DPO ?

Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, revient pour Décideurs Juridiques sur les thèmes qui devraient occuper les délégués à...

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Les six professionnels du cabinet Nosten Avocats ont rejoint en mai dernier le cabinet d’experts comptables GMBA, formalisant ainsi une collaboration...

Une gouvernance paritaire pour l’AFJE

Une gouvernance paritaire pour l’AFJE

Incarner la diversité des juristes d’entreprise pour mieux répondre aux défis du métier. C’est l’objectif que l’Association française des juristes d’e...

Oui, investir dans le Bitcoin peut être une bonne idée

Oui, investir dans le Bitcoin peut être une bonne idée

Longtemps mal vues des régulateurs car jugées trop volatiles, les monnaies virtuelles convainquent de plus en plus largement les investisseurs en quêt...

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Directrice du développement durable au sein du groupe hôtelier Accor et présidente du jury du Prix de la Finance verte 2022, Brune Poirson évoque la m...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message