RGPD

RGPD : de nouveaux métiers et des métiers renouvelés !

De l’avis de beaucoup, l’apport le plus remarquable du RGPD est l’arrivée dans certaines entreprises d’un nouveau professionnel, mi-expert technique, mi-expert juridique : le DPO (Data Protection Officer, ou Délégué à la protection des données). Mais, niveau métier, il n’est pas le seul à évoluer : avocats et DSI voient aussi leurs missions changer avec la mise en place du Règlement général à la protection des données, prévue pour le 25 mai 2018.

Le DPO, garant du RGPD

Le DPO est le symbole dans l’entreprise du RGPD. Avec son profil un peu technique, un peu juridique, mais toujours hyper-compétent et agile, il est le garant du respect de la nouvelle réglementation relative aux données. Pourtant, il n’est… pas obligatoire partout.

Ainsi, un DPO doit être nommé pour :

– Les autorités ou les organismes publics (les administrations, les ministères…) ;

– Les organismes dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;

– Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Le DPO n’est pas un nouveau CIL

Certains ont, à tort, vu le DPO comme un héritier du CIL (Correspondant informatique et libertés). Or, il se distingue sur plusieurs points. Tout d’abord, le DPO doit posséder des compétences en matière de droit et de pratiques. Il a une obligation morale d’entretenir ses connaissances techniques, via un programme de formation continue. Il fait face à plus de responsabilités, aussi : c’est à lui de répondre en cas de contrôle opéré par la CNIL — ou par tout autre organisme de contrôle européen. Avec, en jeu, d’importantes sanctions prononcées à l’encontre de son employeur !

« Les CIL et les DPO ne cohabiteront pas, estimait ainsi, début 2016 lors de la 10e université de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Edouard Geffray, secrétaire général de la CNIL. Il y aura une conversion de l’un vers l’autre mais les modalités restent à fixer. Et le titre actuel de CIL ne donnera pas lieu automatiquement au titre de DPO. »

Les avocats, un rôle de conseil à assumer

Certains cabinets d’avocats se sont spécialisés dans l’accompagnement des entreprises vers le RGPD. Ils proposent ainsi certaines prestations d’accompagnement :

– Rédaction des politiques de protection des données personnelles ;

– Sensibilisation des cadres et des employés au RGPD ;

– Mise en place d’un système de traitement des données personnelles…

Surtout, l’avocat peut jouer un rôle clé en cas de contrôle opéré par la CNIL. Et aider les entreprises à s’assurer que leurs sous-traitants respectent, eux aussi, les exigences du RGPD…

La DSI, opération sécurisation

Les DSI sont concernées par l’article 32 du RGPD, lequel les soumet à une « obligation générale de sécurité ». Ainsi, pseudonymisation et chiffrement des données sont plus que recommandés. Des phases de test doivent être réalisées, ainsi que des études d’impact. L’objectif ? Aboutir à une cartographie complète de la donnée en entreprise, aidant la CNIL à y voir plus clair en cas de contrôle, et assurant aux consommateurs qu’ils pourront « récupérer » leurs données ou les consulter s’ils le souhaitent !

Le RGPD n’est pas un texte anecdotique pour les professionnels. Plus contraignant que l’antique loi Informatique et Libertés, il donne aux collaborateurs de nouvelles responsabilités. Et crée un « nouveau collègue » : le DPO ! Vous souhaitez en savoir plus, téléchargez notre guide « RGPD : Guide du DPO prêt à l’action » ou contactez nos équipes !