Le RGPD a introduit des nouvelles responsabilités quant aux données personnelles des clients et des citoyens.

Ces nouvelles règles du jeu ont fait apparaître de nouvelles missions dans vos organisations. Les organismes officiels ont donc inventé les nouveaux métiers en charge de ces missions et réparti les responsabilités de chacun.

Jusque-là rien à dire, c’est un progrès, mais ces nouveaux métiers n’existaient pas jusqu’à présent et leurs responsabilités respectives méritent d’être éclaircies. Quand bien même cela ne serait que pour évaluer les compétences requises pour chacun.

 

Le responsable de traitement 

Même si la CNIL le défini comme le responsable légal de la personne morale, à mon avis car c’est le seul qui puisse en supporter la responsabilité pénale, en pratique cela ignore la nécessité de disposer d’un responsable pour chaque traitement au sens maîtrise de son contenu.

Il est le référent d’un traitement particulier, que cela soit pour les données que celui-ci héberge, ou les actions dont il est le sujet.

Le choix de l’acteur concerné se portera donc naturellement vers le responsable applicatif, le chef de projet, un responsable d’exploitation, et quand aucun de ces rôles n’existe, on se rabattra vers le référent métier ou un utilisateur clé.

 

 

Évidemment, tout cela sous-entend que notre responsable de traitement maîtrise le contenu technique de son application et dispose d’une vision globale des activités que celle-ci subit.

Est-il au courant des processus de sauvegarde et de la destination de celles-ci ?

Que connait il de la sécurité des comptes d’administration ? Quel contrôle a t’il sur la politique de saisie des informations personnelles dans des champs libres ? Maîtrise t’il le niveau de chiffrement des mots de passe ?

Et si l’application est ouverte aux utilisateurs finaux, sait-il précisément quel est le contenu des cookies ou quelle exploitation est faite des données de localisation, et avec quelle durée de conservation des informations ?

On pourrait citer encore de nombreux sujets qui sont du ressort du responsable de traitement , et pour lesquels force est de constater que souvent, les potentiels responsables ne connaissent pas la réponse, voire souvent ne savent même pas que la question se pose.

Alors est-ce au DPO de répondre à ces questions ?

 

Le DPO

On a déjà tout dit et son contraire au sujet du DPO.

Il doit cumuler des compétences juridiques et techniques. Il doit assurer la liaison entre les responsables de traitement et leur management.

Il doit être directif avec les premiers, en restant indépendant des seconds, le tout évidemment avec toute la diplomatie requise dès que des responsabilités financières et pénales sont en jeu.

Il doit recenser les traitements mais en être indépendant.

Et donc voilà qu’il devrait aussi gérer la répartition des tâches ?

Pas étonnant dans ces conditions que nombre d’organisations hésitent d’un côté entre un DPO choisi en externe, certes au-dessus de tout soupçon, mais ignorant de leur métier et du fonctionnement de leur structure, et de l’autre leur CIL actuel (pour les rares qui en dispose) ou un informaticien interne, d’emblée suspect d’être impliqué dans les traitements et risquant d’être sous la coupe de sa hiérarchie.

Alors externe et indépendant ou interne et opérationnel, pour ceux qui n’ont pas encore traité le sujet, l’échéance est dans à peine plus d’un mois, l’urgence à l’opérationnel.

 

Pour vous inscrire à notre newsletter, suivez ce lien 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

Nos solutions

Newsletter

Categories: RGPD