Actualité

Comment la fonction de Data Protection Officer a-t-elle évolué en 2019 ? Le rôle de DPO au sein de l’entreprise s’intensifie. Le DPO doit mesurer l’impact des nouvelles règlementations telles que le E-Privacy, évaluer le niveau de sécurité IT et se responsabiliser.

L’ère du numérique pousse le législateur à encadrer de plus en plus la technologie. Des nouvelles règles en matière de protection des données personnelles naissent, alors que la mise en conformité RGPD, déjà complexe, n’a pas encore abouti dans de nombreuses entreprises. Ce workshop envisagera l’impact des règlementations e-privacy sur le périmètre d’activité du DPO.

Ensuite, il est important que le DPO sache où mettre le curseur quant à la sécurité informatique des données à caractère personnel de l’entreprise. En effet, le niveau de sécurité diffère considérablement selon que les données sont traitées par un hôpital ou par un établissement bancaire. Vous apprendrez ici à identifier les besoins en fonction des risques, et à comprendre les éléments indispensables à intégrer dans votre entreprise avant de pouvoir prétendre à une conformité RGPD.

Face à une non-conformité, qui pourrait éventuellement entrainer une fuite de données, le DPO doit évaluer sa responsabilité personnelle au sein de l’entreprise. Un DPO interne est un travailleur salarié de l’entreprise, nous détaillerons les risques inhérents à cette fonction. Que se passera-t-il si l’entreprise manque à ses obligations de protection des données personnelles? Le DPO peut-il être tenu responsable pour une fuite de données qui aurait pu être évitée? Nous envisagerons les situations dans lesquelles la responsabilité professionnelle du DPO peut être engagée.

Le rôle du DPO suggère finalement d’adopter une méthodologie de gestion de projet efficace. Nous parlerons des solutions face aux blocages habituels que nous avons observés. Nous expliquerons leurs forces et leurs faiblesses et présenterons une méthodologie qui a prouvé son efficacité auprès de plusieurs centaines d’entreprises à Luxembourg. Grâce à ce workshop vous disposerez des outils nécessaires pour clôturer la phase de mise en conformité sans rien oublier !

Experts: Romane Wautelet et Julien Winkin (LuxGap)

Niveau: Confirmé – Expert

Objectifs:

– Maitriser les risques de l’entreprise en matière de sécurité informatique

– Adopter une méthodologie de gestion de projet : les outils, les actions et les objectifs

– Évaluer sa responsabilité personnelle en tant que DPO au sein de l’entreprise

– Délimiter l’impact des nouvelles réglementations (E-privacy) sur votre activité

Source : PaperJam.lu

En premier lieu, il est important de savoir que lorsqu’une entreprise n’a pas respecté la législation RGPD, le DPO ne peut pas être considéré comme le responsable final. La responsabilité incombe entièrement à l’entreprise.

Le Data Protection Officer doit cependant se protéger contre les tâches qui ont un lien indirect avec la législation RGPD et pour lesquelles son donneur d’ordre peut bel et bien être responsable.

En tant que DPO nous participons activement à la gestion de l’entreprise, influençons sa stratégie, ses investissements car ils doivent être en ligne avec la loi. Si nous sommes des consultants externes avec une expérience au delà des lois nous sommes alors des conseillers privilégiés.

Le RGPD est récent et ses interprétations nombreuses, il n’est pas rare d’avoir des avis différents entre spécialistes. Il y a aussi les entreprises qui ont senti la demande auprès de leurs clients et qui se sont auto-proclamés experts sans avoir pour autant maîtrisé le sujet.

Quels sont les risques, pour le client, et pour la société de conseil / DPO ?

Voici quelques exemples :

• Le DPO donne un mauvais conseil pour la politique de confidentialité du client, ce qui entraîne la divulgation de données client.
• Le DPO conserve diverses données importantes du client en matière de traitement des données, puis les perd.
• Le client subit une perte financière en raison d’un mauvais conseil concernant la législation RGPD et le traitement des données.
• Le DPO élabore l’ensemble du système informatique pour le traitement des données, et lors de la mise en place, le client est confronté à une perte de données.
• Le DPO n’a pas les compétences requises en sécurité informatique et valide des méthodes qui ne respectent pas les états de l’art et ne peuvent se justifier pour des raisons métiers/financières, impliquant une faille de sécurité et une perte de données personnelles
• Le DPO exige au travers de ses contrats des éléments excessifs (ex : exigences de sécurité) et le client se voit payer des prestations plus coûteuses auprès de ses partenaires sans raison réelle.
• Le client étant responsable de sa conformité, il subira malheureusement l’impact d’une incompétence de son DPO, qu’il soit interne ou externe. En effet, le contrat de DPO ne peut en aucun cas stipuler que si le DPO fait mal son travail, il subira les amendes RGPD. Assurez-vous donc que votre conseiller est à la hauteur de vos attentes !

Ces situations existent, le DPO n’est donc pas sans risque. S’il crée un dommage il pourrait se voir confronté à la réparer. Côté client, un mauvais choix peut aussi coûter cher.

Un DPO interne ou externe ?

Que le DPO soit interne ou externe à l’entreprise change fortement l’impact sur l’entreprise. Les DPO interne sont généralement remontés en une fois au niveau du top management de l’entreprise et mettent du temps avant de comprendre réellement les enjeux et l’intérêt de leur position. Mais il est toujours sur place, et connait très bien l’entreprise, c’est son avantage. Le DPO externe quant à lui prend le rôle très rapidement, mais peut passer à côté de certaines informations car les collaborateurs dans l’entreprise « oublient » ou ne pensent pas que l’information devait être portée à son attention, son avantage est le même qu’un consultant externe, il voit beaucoup de choses et a une expérience beaucoup plus large.

En terme de coûts, le DPO interne sera plus cher dans une petite et moyenne entreprise. Car le temps de travail ne représente pas un temps complet, de plus il prendra plus de temps car moins expérimenté. Le DPO externe ne facture que son temps passé et est beaucoup plus rapide, il peut réutiliser ce qu’il a déjà fait chez ses autres clients. Mais son tarif horaire sera plus élevé.