décembre 2019

Comment la fonction de Data Protection Officer a-t-elle évolué en 2019 ? Le rôle de DPO au sein de l’entreprise s’intensifie. Le DPO doit mesurer l’impact des nouvelles règlementations telles que le E-Privacy, évaluer le niveau de sécurité IT et se responsabiliser.

L’ère du numérique pousse le législateur à encadrer de plus en plus la technologie. Des nouvelles règles en matière de protection des données personnelles naissent, alors que la mise en conformité RGPD, déjà complexe, n’a pas encore abouti dans de nombreuses entreprises. Ce workshop envisagera l’impact des règlementations e-privacy sur le périmètre d’activité du DPO.

Ensuite, il est important que le DPO sache où mettre le curseur quant à la sécurité informatique des données à caractère personnel de l’entreprise. En effet, le niveau de sécurité diffère considérablement selon que les données sont traitées par un hôpital ou par un établissement bancaire. Vous apprendrez ici à identifier les besoins en fonction des risques, et à comprendre les éléments indispensables à intégrer dans votre entreprise avant de pouvoir prétendre à une conformité RGPD.

Face à une non-conformité, qui pourrait éventuellement entrainer une fuite de données, le DPO doit évaluer sa responsabilité personnelle au sein de l’entreprise. Un DPO interne est un travailleur salarié de l’entreprise, nous détaillerons les risques inhérents à cette fonction. Que se passera-t-il si l’entreprise manque à ses obligations de protection des données personnelles? Le DPO peut-il être tenu responsable pour une fuite de données qui aurait pu être évitée? Nous envisagerons les situations dans lesquelles la responsabilité professionnelle du DPO peut être engagée.

Le rôle du DPO suggère finalement d’adopter une méthodologie de gestion de projet efficace. Nous parlerons des solutions face aux blocages habituels que nous avons observés. Nous expliquerons leurs forces et leurs faiblesses et présenterons une méthodologie qui a prouvé son efficacité auprès de plusieurs centaines d’entreprises à Luxembourg. Grâce à ce workshop vous disposerez des outils nécessaires pour clôturer la phase de mise en conformité sans rien oublier !

Experts: Romane Wautelet et Julien Winkin (LuxGap)

Niveau: Confirmé – Expert

Objectifs:

– Maitriser les risques de l’entreprise en matière de sécurité informatique

– Adopter une méthodologie de gestion de projet : les outils, les actions et les objectifs

– Évaluer sa responsabilité personnelle en tant que DPO au sein de l’entreprise

– Délimiter l’impact des nouvelles réglementations (E-privacy) sur votre activité

Source : PaperJam.lu

En premier lieu, il est important de savoir que lorsqu’une entreprise n’a pas respecté la législation RGPD, le DPO ne peut pas être considéré comme le responsable final. La responsabilité incombe entièrement à l’entreprise.

Le Data Protection Officer doit cependant se protéger contre les tâches qui ont un lien indirect avec la législation RGPD et pour lesquelles son donneur d’ordre peut bel et bien être responsable.

En tant que DPO nous participons activement à la gestion de l’entreprise, influençons sa stratégie, ses investissements car ils doivent être en ligne avec la loi. Si nous sommes des consultants externes avec une expérience au delà des lois nous sommes alors des conseillers privilégiés.

Le RGPD est récent et ses interprétations nombreuses, il n’est pas rare d’avoir des avis différents entre spécialistes. Il y a aussi les entreprises qui ont senti la demande auprès de leurs clients et qui se sont auto-proclamés experts sans avoir pour autant maîtrisé le sujet.

Quels sont les risques, pour le client, et pour la société de conseil / DPO ?

Voici quelques exemples :

• Le DPO donne un mauvais conseil pour la politique de confidentialité du client, ce qui entraîne la divulgation de données client.
• Le DPO conserve diverses données importantes du client en matière de traitement des données, puis les perd.
• Le client subit une perte financière en raison d’un mauvais conseil concernant la législation RGPD et le traitement des données.
• Le DPO élabore l’ensemble du système informatique pour le traitement des données, et lors de la mise en place, le client est confronté à une perte de données.
• Le DPO n’a pas les compétences requises en sécurité informatique et valide des méthodes qui ne respectent pas les états de l’art et ne peuvent se justifier pour des raisons métiers/financières, impliquant une faille de sécurité et une perte de données personnelles
• Le DPO exige au travers de ses contrats des éléments excessifs (ex : exigences de sécurité) et le client se voit payer des prestations plus coûteuses auprès de ses partenaires sans raison réelle.
• Le client étant responsable de sa conformité, il subira malheureusement l’impact d’une incompétence de son DPO, qu’il soit interne ou externe. En effet, le contrat de DPO ne peut en aucun cas stipuler que si le DPO fait mal son travail, il subira les amendes RGPD. Assurez-vous donc que votre conseiller est à la hauteur de vos attentes !

Ces situations existent, le DPO n’est donc pas sans risque. S’il crée un dommage il pourrait se voir confronté à la réparer. Côté client, un mauvais choix peut aussi coûter cher.

Un DPO interne ou externe ?

Que le DPO soit interne ou externe à l’entreprise change fortement l’impact sur l’entreprise. Les DPO interne sont généralement remontés en une fois au niveau du top management de l’entreprise et mettent du temps avant de comprendre réellement les enjeux et l’intérêt de leur position. Mais il est toujours sur place, et connait très bien l’entreprise, c’est son avantage. Le DPO externe quant à lui prend le rôle très rapidement, mais peut passer à côté de certaines informations car les collaborateurs dans l’entreprise « oublient » ou ne pensent pas que l’information devait être portée à son attention, son avantage est le même qu’un consultant externe, il voit beaucoup de choses et a une expérience beaucoup plus large.

En terme de coûts, le DPO interne sera plus cher dans une petite et moyenne entreprise. Car le temps de travail ne représente pas un temps complet, de plus il prendra plus de temps car moins expérimenté. Le DPO externe ne facture que son temps passé et est beaucoup plus rapide, il peut réutiliser ce qu’il a déjà fait chez ses autres clients. Mais son tarif horaire sera plus élevé.

Réponse à une question au sujet du droit à l’image, sujet fort controversé depuis l’arrivée du RGPD.

Cet article s’adresse aux sociétés, pour les photos de vos employés, de vos membres, de vos clients, de vos patients.

Le droit à l’image et la protection de l’image en tant que donnée à caractère personnel soulèvent deux questions principales :

– À quoi faut-il veiller quand on prend des photos ?

– Quelles précautions faut-il prendre en publiant des photos ?

Les réponses doivent être formulées au cas par cas : en effet, elles diffèrent en fonction de la qualité de celui qui prend la photo (un privé ou un professionnel), du contexte de la prise de vue (une manifestation publique ou un événement privé), de la situation de la prise de vue (une photo posée individuellement ou en groupe, une photo ciblée ou une photo non-ciblée) ainsi que de la destination de la photo (une utilisation à titre strictement privé, une publication à des fins commerciales, une publication à titre d’information).

Le droit à l’image doit être respecté par les particuliers, les professionnels et les acteurs institutionnels. L’entrée en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD) ne modifie pas la législation et la jurisprudence en matière de droit à l’image.

L’image d’une personne est néanmoins une « donnée à caractère personnel » au sens du RGPD dès lors que la personne est « identifiée ou identifiable » par des « éléments spécifiques propres à son identité physique [ou] physiologique ». La prise de vue et la publication de photos de personnes physiques identifiables peuvent constituer des traitements de données à caractère personnel tombant sous le champ d’application du RGPD.

La jurisprudence en la matière retient qu’une personne qui donne son consentement pour la prise de photos ne le donne pas nécessairement pour la publication ou la diffusion. Il y a donc lieu de collecter un double consentement.

Pour les mineurs, il faut recueillir le consentement auprès des représentants légaux. D’après la jurisprudence belge et française, lorsque le mineur a atteint « l’âge de discernement » (à apprécier au cas par cas, mais en principe à partir de 13 ans), il est recommandé récolter le consentement du mineur, en addition de celui de son représentant légal (double consentement)

Un traitement de données n’est licite que si au moins une des conditions suivantes, prévues à l’article 6 RGPD, est remplie :

• La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

• Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celleci.

• Le traitement est nécessaire au respect d’une obligation légale (claire et précise) à laquelle le responsable du traitement est soumis.

• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

La plupart du temps, le traitement de données sera fondé sur le consentement de la personne concernée. Le consentement doit être « libre, spécifique, éclairé et univoque » de celui-ci. La personne concernée doit donc avoir un véritable choix. Pour les mineurs, les représentants légaux doivent donner leur consentement. S’agissant de traitements s’inscrivant dans l’offre directe de services de la société de l’information aux enfants, le consentement des mineurs d’au moins 16 ans est suffisant selon l’article 8 RGPD et le consentement des titulaires de l’autorité parentale n’est dès lors pas requise dans ce cas.

Le droit à l’image et le droit à la protection des données à caractère personnel sont deux droits fondamentaux qui ne sont pas soumis aux mêmes conditions : ainsi, si, en matière de droit à l’image, le consentement tacite est admis pour la capture de l’image, tel n’est pas le cas en matière de droit à la protection des données. Dès lors, en absence d’un consentement explicite ou d’un acte positif clair à la prise de vue, un responsable de traitement devra fonder son analyse sur une autre condition de licéité prévue par le RGPD. Un responsable de traitement pourra par exemple invoquer ses « intérêts légitimes ». Cette condition de licéité présuppose que le responsable de traitement prenne dûment en compte les « libertés et droits fondamentaux de la personne concernée », comme, dans le domaine sous considération, le droit à l’image. Le traitement de données peut également être basé sur les autres conditions de licéité (par exemple : intérêt public, exécution d’un contrat).

Comme vous pouvez le constater, ce sujet n’est pas simple et il y a plusieurs lois en vigueur sur ce sujet. Il faut considérer les deux.

Pour faire simple : demandez un consentement reprenant de nombreux traitements et le document est signé par les intéressés. Surtout au niveau des contrats de travail, ainsi que si vous travaillez avec des enfants de moins de 16 ans !

Source principale: Guide du droit à l’image de la CNPD.