Que fait un délégué à la protection des données (DPD) ?
Votre DPD est votre expert en confidentialité des données. Il doit être suffisamment compétent et expérimenté pour comprendre les nuances du GDPR et donner des conseils sur la façon de s’adapter aux exigences de la loi. Il doit également être en mesure de surveiller votre stratégie et votre processus de conformité interne à la protection des données avec le logiciel rgpd.
L’un des aspects les plus utiles pour passer par la conformité au GDPR est de réaliser une évaluation d’impact sur la protection des données (DPIA), et un DPO sera en mesure de donner des conseils sur la réalisation d’une DPIA. Un autre aspect du travail du DPD est d’agir en tant que point de contact entre les personnes concernées et l’autorité de contrôle – un organisme indépendant qui supervise la mise en œuvre du GDPR.
Pour plus d’informations, vous pouvez également consulter l’article 51 du GDPR et sur la conformité rgpd.
Qu’est-ce qu’une analyse d’impact sur la protection des données (DPIA)?
Une analyse d’impact sur la protection des données, ou DPIA, est une méthode permettant de réaliser une analyse de risque des utilisations des données personnelles dans une organisation. Il ne s’agit pas d’une action ponctuelle mais plutôt d’un processus, qui doit être répété si certaines choses, comme le traitement des données, changent.
Une DPIA est finalement utilisée dans le cadre de la responsabilité attendue par le GDPR pour démontrer que vous prenez la vie privée au sérieux et que vous mettez en place des actions pour protéger les données. Une EFDP passera par tout le cycle de vie du traitement des données pour évaluer ces actions. L’article 35 du GDPR (clause 7) a plus de détails sur les types d’évaluation nécessaires.
Le GDPR rend obligatoire la réalisation d’une DPIA dans certaines circonstances. Si une DPIA n’a pas été réalisée comme il se doit, votre organisation est passible d’une amende au taux de 2 % de votre chiffre d’affaires annuel mondial ou de 10 millions d’euros, le montant le plus élevé étant retenu.
Un DPO possède l’expertise nécessaire pour savoir où une DPIA doit être appliquée et quelles méthodologies doivent être utilisées pour la réaliser efficacement. Le DPD documentera également tout conseil et toute décision prise lors de la mise en œuvre d’un DPIA.
Quel type d’organisation doit employer un DPD ?
Dans la dernière version du GDPR, l’article 37 définit quelles entreprises doivent employer un DPD. Trois grands critères définissent les organisations qui entrent dans ce camp :
- Autorité ou organisme public
- Organisation qui traite des données à grande échelle
- Organisation qui traite des données de « catégorie spéciale »
Le GDPR ne rend pas obligatoire le recours à un DPD ailleurs. Cependant, il suggère fortement d’en utiliser un si votre organisation est tournée vers le public – par exemple, travaille avec des données de santé, dans la radiodiffusion, est un opérateur de transport public, etc.
Dois-je employer un DPO si mon organisation n’est pas basée en Europe ?
Si votre organisation offre des biens ou des services à des personnes situées dans l’UE et collecte et/ou traite leurs données personnelles (ou collecte des données comportementales), vous devrez vous conformer au GDPR. Il y a quelques nuances autour de cela et cela peut devenir compliqué.
C’est là qu’un DPO intervient. Ils ont l’expertise nécessaire pour examiner votre configuration commerciale spécifique et déterminer le niveau de conformité GDPR requis.
Il y a eu un contrecoup intéressant au GDPR dans les pays non européens, où certaines organisations ont décidé de ne pas jouer sur le marché européen pour éviter les problèmes de conformité. Unroll.me, par exemple, ne prend pas en charge les utilisateurs de l’UE pour éviter d’avoir à se plaindre du GDPR. Cela envoie non seulement un très mauvais message sur le respect d’une organisation pour la vie privée des utilisateurs en général, mais cela ferme également un grand marché pour un service.
Comment puis-je employer les services d’un DPO ?
Un DPO peut être choisi parmi le personnel existant ou amené en tant que consultant tiers. Un délégué à la protection des données n’est pas nécessairement une personne technique : il peut, par exemple, avoir des connaissances juridiques et se spécialiser dans la protection de la vie privée et la conformité.
Les rôles typiques qui correspondent à ce profil sont les auditeurs, les spécialistes de la conformité informatique, les avocats spécialisés dans la protection de la vie privée et les managers non techniques qui ont une expertise en matière de confidentialité et de conformité. Lorsque vous recherchez un DPO, vérifiez les certifications de la personne ; il existe un certain nombre de certifications de confidentialité qui couvrent la conformité au GDPR.
Post-GDPR, est-il trop tard pour se conformer ?
Comme on dit, il n’est jamais trop tard pour faire la différence. Il en va de même pour le GDPR.
Si vous n’avez pas examiné les différents aspects de la conformité au GDPR mais que vous pensez que vous pourriez tomber sous le coup de la loi, alors agissez rapidement. Les affaires contre les entreprises commencent à faire surface au fur et à mesure que les violations se produisent après la promulgation de la loi le 25 mai. Par exemple : la violation de Hilton en 2015, qui a donné lieu à une amende de 700 000 dollars, s’élèverait désormais à 420 millions de dollars selon les nouveaux niveaux d’amende du GDPR.
L’un des moyens les plus rapides de vérifier si vous êtes en conformité avec le GDPR, ou si ce n’est pas le cas, ce qu’il faut faire pour y parvenir, est de faire appel aux services d’un professionnel de la vie privée tel qu’un DPO.