Sécurité des données : quel rôle pour le DPO ?

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les organisations. Son rôle ? S’assurer que ces dernières respectent les règles imposées par le RGPD. Jérôme Deroulez revient, pour Décideurs Juridiques, sur le rôle, les fonctions du DPO et les enjeux auxquels il doit faire face en matière de sécurité des données.
Jérôme Deroulez revient, pour Décideurs juridique, sur le rôle, les fonctions du DPO et les enjeux auxquels il doit faire face.

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les organisations. Son rôle ? S’assurer que ces dernières respectent les règles imposées par le RGPD. Jérôme Deroulez revient, pour Décideurs Juridiques, sur le rôle, les fonctions du DPO et les enjeux auxquels il doit faire face en matière de sécurité des données.

La question de la sécurité des données personnelles constitue aujourd’hui un enjeu majeur pour les PME. Selon un récent rapport du Sénat, 43 % d’entre elles ont relevé un incident de cyber sécurité en 2020. Seize pour cent de ces attaques sont susceptibles de mettre en péril la vie d’une entreprise. Et ce, alors que les attaques au rançongiciel ont vu leur chiffre augmenter considérablement entre 2020 et 2021, selon l’Anssi. La nécessité de prévenir ce risque s’accompagne aussi de l’obligation (consacrée par l’article 32 du RGPD) de mettre en place un niveau de sécurité adapté aux risques en mettant en œuvre "des mesures techniques et organisationnelles appropriées". La question du rôle du DPO en matière de sécurité des données mérite donc d’être posée en raison de la diversité des missions qu’il doit assumer et les dispositifs qu’il doit installer.

Informer et conseiller l’entreprise

Le DPO est chargé d’informer et de conseiller les entreprises et les organisations sur les conditions à respecter pour être en conformité avec le RGPD. Il peut aussi engager des actions de sensibilisation et de formation, qui répondent aux préconisations et aux recommandations d’autorités de contrôle telles que la Cnil, qui sont régulièrement actualisées. Actions dont le Sénat a souligné qu’elles peuvent constituer des indicateurs efficaces des risques encourus ou des dispositifs établis en matière de sécurité des données. Ces dernières permettent également de concrétiser les actions déjà mises en œuvre et d’en garantir l’effectivité, notamment pour assurer une gouvernance effective. Un aspect de plus en plus souvent pris en compte par la Cnil dans le cadre de ses contrôles.

Le DPO peut également communiquer des informations et donner accès à des guides méthodologiques qui favorisent la prise en compte de bonnes pratiques en matière de sécurité des données. Il peut également avoir recours à des outils basés sur le legal design pour assurer une diffusion efficace de ces informations. Ceci, afin d’éviter une prise en compte imparfaite ou tardive.

Une approche proactive

L’article 39 du RGPD souligne également que le DPO doit tenir compte dans l’accomplissement de ses missions du risque associé aux opérations de traitement. En pratique, il doit intervenir largement, de la réflexion à la mise en place d’un projet, en utilisant certains outils comme les analyses d’impact sur la vie privée (AIPD). Ces outils intègrent la prise en compte des aspects relatifs à la sécurité des données.

Pour le DPO, le risque associé aux opérations de traitement peut être complexe en pratique, car il est de nature diverse et souvent lié à des projets internes (l’externalisation de certaines fonctions comme le traitement de la paie ou le marketing) ou externes (le recours à un prestataire lors de la mise en place d’un nouveau produit ou les relations avec de multiples partenaires en matière d’objets connectés par exemple). Pour autant, l’accent mis par le RGPD souligne la nécessité d’une approche proactive, en lien avec les obligations en termes de privacy-by-design, mais cette fois dédiées aussi à la sécurité des données.

Accorder au DPO les moyens nécessaires

Cette approche suppose que le DPO participe au suivi des projets en cours et joue son rôle de conseil en soulignant les risques existant en matière de sécurité des données en cas de non-conformité. À ce sujet, il faut relever les multiples références de la CNIL à propos des défauts ou des lacunes en matière de sécurité des données dans les sanctions prononcées depuis 2018 (2). Ces sanctions soulignent que la détermination et la mise en œuvre concrète et effective de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données constituent un enjeu central, que le DPO peut contribuer à définir, à renseigner et à documenter. Par exemple, répertorier les violations de données ou assurer leur prévention constituent des actions permettant d’assurer un suivi réactif et un pilotage d’une politique de conformité axée sur la pratique.

Ainsi, alors que la lutte contre le risque cyber constitue un enjeu majeur et un chantier d’envergure, assurer la sécurité des données personnelles l’est tout autant. Le DPO peut être, dans ce cadre, déterminant. Il apporte une réelle plus-value. À condition de lui accorder tous les moyens nécessaires, comme cela vient d’être rappelé par la Cnil dans son dernier guide pratique RGPD consacré au DPO.

 

(2) Par exemple dans sa délibération SAN 2019-005 du 28 mai 2019 Délibération SAN-2019-005 du 28 mai 2019 - Légifrance (legifrance.gouv.fr)

 

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

N. Hubert (Milleis Banque) : "Les mouvements audacieux sont souvent opportunistes"

N. Hubert (Milleis Banque) : "Les mouvements audacieux sont souvent opportunistes"

Croissance externe, codes du luxe, innovation, Milleis Banque affirme sa nouvelle identité et ses ambitions. Échange avec Nicolas Hubert, directeur gé...

Comment intégrer l’impact des prix du carbone dans les portefeuilles ?

Comment intégrer l’impact des prix du carbone dans les portefeuilles ?

Depuis des années, les responsables européens s’appliquent à lutter contre le changement climatique. Si les autres pays ne parviennent pas à s’aligner...

Stéphanie Smatt-Pinelli, l'hyperactive

Stéphanie Smatt-Pinelli, l'hyperactive

Directrice juridique en charge du règlement des grands contentieux d'Orano, Stéphanie Smatt-Pinelli figure parmi les personnalités incontournables du...

Simon Associés se dote d’un département financements structurés

Simon Associés se dote d’un département financements structurés

À l’occasion de l’arrivée de la nouvelle associée Christelle Lataste-Salmon, Simon Associés lance un département consacré aux financements structurés...

Chez Centaure, deux avocates deviennent associées

Chez Centaure, deux avocates deviennent associées

Ourida Derrouiche et Nathalie Lagrée ont rejoint le collège d’associés du cabinet, qui compte désormais quatre femmes sur douze membres.

Septeo cible les huissiers de justice

Septeo cible les huissiers de justice

Le groupe Septeo fait l’acquisition de SoftOuest, une entreprise française spécialiste des logiciels à destination des huissiers de justice.

Hoche Avocats développe son activité de financement bancaire

Hoche Avocats développe son activité de financement bancaire

Une nouvelle associée pour s’affirmer en financement : c’est le pari de Hoche Avocats en ce début d’année. Ariane Berthoud, qui arrive tout droit du c...

N. Charles (BNP Paribas Real Estate) : "Si je devais résumer 2022 en un mot, ce serait la stabilisation"

N. Charles (BNP Paribas Real Estate) : "Si je devais résumer 2022 en un mot, ce serait la stabilisat...

BNP Paribas Real Estate, société de gestion d’actifs immobiliers, ne cesse de se développer grâce à une dynamique en phase avec les marchés et leurs c...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte