La législation européenne sur la protection des données fixe de nouvelles exigences
La nouvelle législation européenne sur la protection des données, le règlement général sur la protection des données (RPD), qui s'applique à tous les États membres de l'UE à partir de mai 2018, impose de nouvelles exigences aux responsables du traitement des données, en particulier aux délégués à la protection des données (DPD) dans les entreprises.
Une nouvelle ère commence en mai prochain avec la nouvelle législation européenne sur la protection des données, le règlement général sur la protection des données (RPGD). Le GDPR s'applique à tous les États membres de l'Union européenne (y compris le Royaume-Uni, avant et probablement après Brexit). Jusqu'à présent, on a beaucoup parlé des amendes et des sanctions en cas d'infraction, qui peuvent aller jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires annuel mondial d'une entreprise.
Néanmoins, l'exigence relative au rôle du délégué à la protection des données (DPD) semble toujours jouer un rôle subalterne dans les entreprises. "Dans le passé, le rôle du DPD était largement indéfini, car la législation européenne sur la protection des données qui existe encore découle d'une directive européenne de 1995, qui ne tient pas encore compte de ces rôles et responsabilités dans la même mesure que dans le GDPR", explique Michael Veit, expert en sécurité informatique chez Sophos.
Nouvelles instances en matière de TI
À cette époque, les données étaient presque exclusivement considérées dans un "contexte informatique" et les premières personnes à recevoir le titre informel de DPD avaient généralement une formation en informatique. Ce sont eux qui pouvaient comprendre, identifier et "protéger" le flux de données informatisées. Aujourd'hui, à une époque où la technologie domine tellement nos vies, le rôle et la tâche d'un DPD ont considérablement changé.
Aujourd'hui, le DPD est l'autorité chargée de la protection des données au sein d'une organisation. Le DPD doit aider une entreprise ou une organisation à se conformer à ses obligations légales - également en ce qui concerne le respect de la vie privée des personnes privées.
Il s'agit généralement de sécurité et cela comprend non seulement la vision de l'informatique mais aussi l'expertise en matière juridique, de conformité ou de service à la clientèle et bien d'autres choses encore. Pour se conformer aux directives, la GDPR formule le rôle d'un DPD et rend également obligatoire leur utilisation dans les entreprises et les organisations. Par exemple, tous les organismes publics exigeront obligatoirement qu'un DPD garantisse la liberté d'information ou les droits de l'homme.
Cela signifie également que, dans certaines circonstances, même les très petites organisations ou entreprises peuvent avoir l'obligation légale d'avoir un DPD - par exemple les autorités locales ou les écoles publiques.
Mais ce rôle est également obligatoire pour les organisations dont les activités principales impliquent "un contrôle régulier et systématique des données à grande échelle" ou dont les activités principales impliquent le traitement de données particulièrement sensibles - par exemple, des données relatives à l'origine ethnique, aux croyances religieuses, à la santé, à la vie sexuelle ou aux condamnations pénales.
Lignes directrices utiles
Certaines lignes directrices, parfois utiles, ont été élaborées par le groupe de travail "Article 29", un groupe de représentants des autorités de protection des données de toute l'UE.
Le GDPR décrit les structures (qualités et devoirs) d'un DPD. Les qualifications suivantes sont requises :
- Possibilité d'action "indépendante
- Indépendamment des instructions de l'employeur
- Connaissance de la législation sur la protection des données
- Des ressources suffisantes pour remplir les tâches
- Rendre compte directement au plus haut niveau de l'encadrement
Selon l'article 29 des lignes directrices, outre la qualification de DPD, aucun conflit d'intérêts ne peut survenir.
Certains rôles dans l'entreprise sont incompatibles avec le DPD, notamment ceux de PDG, de directeur financier, de responsable du marketing, des ressources humaines ou de l'informatique. D'autres principes directeurs expliquent, par exemple, que les "activités essentielles" n'impliquent pas le traitement d'informations relatives aux ressources humaines au sein d'un département des ressources humaines - toute opinion contraire aurait pour conséquence que chaque entreprise, ou département opérationnel, aurait besoin d'un DPD.
