Gouvernance
“Démarrez au plus tôt votre projet de conformité au RGPD !”
Par La rédaction, publié le 08 septembre 2017
L’application du Règlement général sur la protection des données (RGPD) sera effective le 25 mai 2018 avec, en cas de non-conformité, des sanctions sans commune mesure avec celles applicables jusqu’à présent. Pour aider les entreprises à s’y préparer, la CNIL propose un parcours en six étapes, dont la première — désigner un pilote — consiste en la nomination d’un DPO (Data Protection Officer, traduit en délégué à la protection des données).
Vous êtes DPO d’Areva. Pouvez-vous nous préciser le contexte de cette récente nomination ?
J’étais correspondant informatique et liberté (CIL) du groupe depuis le 1er mars 2007, donc l’un des premiers CIL nommés en France. J’officiais pour l’ensemble du groupe et de ses filiales — un peu plus d’une centaine désormais —, à l’exception de notre filiale allemande qui devait avoir un représentant local (Datenschutzbeauftragter), dont la désignation était obligatoire. Nous avons décidé d’anticiper les exigences du RGPD en me nommant DPO pour le Groupe Areva à la date du 25 mai 2017, juste un an avant l’entrée en application du règlement. Mettre un pilote dans l’avion est la première des six étapes décrites par la CNIL pour satisfaire aux conditions d’application du RGPD. Cela se veut ainsi un signal fort vis-à-vis de l’organisation interne, mais aussi des autres acteurs externes du RGPD. Cela vise à confirmer la position d’Areva dans sa stratégie de conformité en matière de protection des données personnelles.
Que représente la communauté des CIL ? Existe-t-il déjà une communauté des DPO ?
On compte environ 17 500 CIL en France. Et l’IAPP estimait à environ 20 000 la création de postes de DPO. La CNIL pense qu’entre 80 000 et 100 000 DPO devraient être nommés. La communauté des CIL existe au travers d’associations. Par exemple l’AFCDP, Association française des correspondants aux données personnelles, dont j’ai été longtemps administrateur, ou encore l’AFJE, Association française des juristes d’entreprise, du fait que le CIL a souvent un profil de juriste. Des groupes de travail de CIL internationaux existent également.
En janvier 2016, avec l’avocat Alain Bensoussan, nous avons fondé l’ADPO, l’Association des Data Protection Officers, pour d’une part peser sur la définition du rôle et des responsabilités du DPO dans le contexte du RGPD, et d’autre part aider les futurs DPO — qui n’auront pas tous l’expérience d’un CIL — dans l’exercice de leurs responsabilités et dans le séquençage de leurs premières actions. Car le chantier RGPD est d’ampleur. Plus de 50 grandes entreprises, dont les grands groupes du CAC 40, ont déjà adhéré à l’ADPO.
Un CIL est-il systématiquement amené à devenir DPO ? En quoi leurs missions diffèrent-elles ?
La famille des CIL va certes devenir la famille des DPO, mais tous les CIL ne seront pas forcément DPO. La loi n’était pas diserte sur le rôle des CIL. Cela se résumait globalement à « CIL tu es, ton registre tu tiendras. CIL tu es, ton bilan annuel tu feras ». La chance que nous avons eue, en tant que premiers CIL, c’est de pouvoir façonner ce poste. En dehors du travail administratif lié aux demandes d’autorisation ou à la rédaction des documents juridiques, j’ai pour ma part mis l’emphase sur la pédagogie, sur la formation et la sensibilisation. Il fallait expliquer aux opérationnels ce qu’était une donnée personnelle, une donnée sensible ou une donnée à caractère discriminatoire… La mission du DPO est toute autre. C’est une mission de construction, de coordination, de contrôle de la stratégie de protection des données au sein de l’entreprise. Il va devoir mettre en place des procédures, éventuellement mener des études d’impact, notifier des violations de données personnelles, etc. Ce sont beaucoup de missions et les responsabilités correspondantes. Certains CIL ne souhaiteront pas assumer ces responsabilités ou estimeront que leur entreprise ne leur donne pas les moyens suffisants pour les assumer. Certaines entreprises pourront aussi estimer que leur CIL n’est pas la bonne personne pour devenir DPO.
Quels sont les critères de choix d’un DPO ?
Les CIL actuels sont pour un tiers des juristes, pour un tiers des informaticiens ou des RSSI, et un dernier tiers un « melting pot » de gestionnaires de risques, d’auditeurs, de responsables commerciaux, d’anciennes assistantes de direction, d’avocats et de CIL externes. Le RGPD ne précise pas les caractéristiques intrinsèques d’un DPO, mais il sera associé de manière appropriée et en temps utile à toutes les questions touchant à la protection des données personnelles. Il doit être proche de l’organe de direction de l’entreprise, car il doit contrôler la conformité de son organisme qui est responsable pénalement de cette « accountability ». Il faut par exemple qu’il ait les moyens de déclencher une étude d’impact, voire un audit interne. Ce positionnement élevé est aussi justifié par un aspect business et les nouveaux niveaux de sanction applicables en cas de manquement, de même que par les risques sur l’image de marque. Le RGPD stipule également la nécessité d’éviter les conflits d’intérêts. En la matière, le DSI est amené à mettre en œuvre des traitements informatiques, donc il pourrait y avoir conflit d’intérêts, car on ne peut être « juge et partie ». D’un autre côté, le RGPD étant très axé sur la sécurité informatique, un DSI ou un RSSI pourrait ressentir une certaine légitimité à être DPO. C’est au responsable de traitement de décider. Le DPO doit montrer un savoir-être, il se doit d’être communicant, aimer les relations humaines et … savoir rester zen face à certaines situations qui ne sont pas toujours simples à gérer.
Parle-t-on uniquement de données personnelles ou toutes les données de l’entreprise sont-elles concernées ?
Si le RGPD mentionne explicitement les données personnelles, le titre de DPO ne le précise pas. Un DPO est donc potentiellement responsable de toutes les données de l’entreprise, avec l’aide des autres experts de l’entreprise. Si les hackers s’intéressaient aux données industrielles, les données personnelles sont l’or noir du 21e siècle et sont la cible des ransomwares qui exigent des rançons pour restituer aux entreprises leurs données.
Où s’arrêtera la responsabilité du DPO ?
Cela dépendra par exemple du secteur d’activité de l’entreprise et de sa taille. C’est notamment pour cela que nous avons fondé l’ADPO, pour entre autres pouvoir rédiger une lettre de mission du DPO et qu’elle puisse être adaptée suivant l’entreprise pour laquelle il travaille, mais aussi selon son propre cursus. Sur un autre plan, à la lecture du règlement, le DPO ne serait pas tenu pénalement responsable des éventuelles erreurs de son entreprise ou de sa non-conformité au RGPD. Dans certains cas, le DPO prendra à son compte certaines obligations incombant au titre du RGPD au responsable de traitement, par exemple la notification des violations de données personnelles à la CNIL ou la tenue du registre des traitements. Au sens du RGPD, le DPO a essentiellement une responsabilité de moyens et doit tenir une documentation. Et à ce titre, là où, par exemple, un CIL pouvait se contenter de donner des conseils au téléphone, il lui appartiendra de garder la trace documentée du conseil donné, de la recommandation émise.
Quelles seront les premières actions du DPO ?
Pour faciliter l’appréhension du RGPD, la CNIL a défi ni cinq étapes, après la nomination du DPO qui est la première étape indispensable. Face à l’ampleur du chantier, il s’agit en effet de prioriser les actions, de ne pas chercher à tout faire avant le 25 mai 2018. Le premier travail du DPO sera de cartographier les traitements en cours et de mettre en place une méthodologie d’instauration des procédures nécessaires à la conformité. L’une des priorités est relative à la reconnaissance, au sein du RGPD, de la responsabilité du sous-traitant, pour autant faut-il qu’elle soit prévue dans le contrat de sous-traitance.
Une attention particulière devra donc être portée sur les mentions légales et les clauses des contrats à venir. Les responsables fonctionnels applicatifs (RFA) sont nommés lorsque le responsable de traitement souhaite mettre en place une base de données informatisée. Or les RFA n’ont pas vocation à être responsable des erreurs de leurs éventuels sous-traitants. Le juriste va donc rédiger le contrat ad hoc prévoyant notamment que la collecte des données ne s’effectue que dans le cadre du contrat, que seules les personnes qui travaillent sur ce contrat y ont accès, que les données doivent être détruites à l’issue du contrat, etc.
Y aura-t-il des points d’attention particuliers ?
Oui. D’abord, tout ce qui touche au cloud ou à l’externalisation de certaines fonctions est éventuellement problématique. Vous signez par exemple un contrat avec une société pour de l’hébergement de données en France et cette société va finalement, sans vous prévenir, mettre une partie de ses serveurs en Inde parce que c’est moins cher là-bas. C’est gênant. Car vous êtes sorti du périmètre de confiance. Le problème se pose également si, vos données étant en France, l’administration en est réalisée, toujours pour des raisons économiques, depuis l’Inde, le Maroc ou l’Île Maurice, trois pays réputés pour « faire des prix ».
Ensuite, il convient de maîtriser les flux depuis et vers les pays hors périmètre de confiance aux yeux des autorités de contrôle. Notre filiale kazakhe doit respecter la législation en vigueur en République du Kazakhstan sur les données personnelles traitées dans ce pays. Les entreprises dans le cadre du RGPD seront amenées à mettre en place des Binding Corporate Rules (BCR), règles internes d’entreprise pour assurer la conformité des flux transfrontières de données. La territorialité du RGPD dépend du lieu du traitement. Si par exemple notre filiale américaine traite des données sur le sol français, c’est le RGPD qui s’appliquera.
Comment feront les entreprises ou organisations qui n’ont pas les moyens de créer un poste de DPO ?
L’obligation de nommer un DPO ne concerne pas toutes les entreprises. Trois cas sont prévus : les autorités et organismes publics ; les entreprises dont l’activité de base exige un suivi régulier et systématique à grande échelle des personnes concernées ; enfin celles qui traitent des données sensibles. Le RGPD prévoit que les entreprises puissent faire appel à des DPO mutualisés. Sur le plan des responsabilités qui vont peser sur eux, cela me semble un peu moins évident de mettre en place des contrats de service avec des DPO externes pour les grandes entreprises, car le DPO doit par essence avoir beaucoup plus d’intimité avec l’entreprise, son organisation, sa stratégie et pouvoir, par exemple, procéder à des audits internes.
Il en va différemment des acteurs publics comme les collectivités locales. On pourra très bien avoir des DPO mutualisés dans les mairies. Il me semblerait logique par exemple qu’il n’y ait qu’un seul DPO pour les 20 arrondissements de Paris. Et pourquoi pas un seul DPO pour le Grand Est : on traite à peu près de la même façon les données à Strasbourg et à Colmar. En revanche, il est nécessaire de conserver un facteur de proximité géographique, linguistique, connaissance du droit local, le RGPD indiquant par ailleurs que le DPO doit être facilement joignable.
Une nouvelle version de la Loi informatique et libertés semble également en préparation. De quelle manière s’articulera-t-elle avec le RGPD ?
Le RGPD est plus près de la BDSG (Bundesdatenschutzgesetz, loi fédérale sur la protection des données) allemande que de la loi française en la matière, ou que d’autres lois nationales, d’ailleurs. Et le texte ne résout pas tout. La CNIL l’a récemment confirmé : une nouvelle version de la Loi informatique et libertés devra être adoptée par le Parlement avant la date butoir du 25 mai 2018 à partir de laquelle les non-conformités au RGPD pourront être sanctionnées. Elle précisera certaines zones de flou, instaurera peut-être une nouvelle catégorie d’entreprises soumise à l’obligation d’un DPO, … Les obligations légales se cumuleront comme celles issues de la loi pour une économie numérique d’Axelle Lemaire et, pour une multinationale, la prise en compte de toutes les lois locales spécifiques. On comprend dès lors l’intérêt d’une formation de juriste pour exercer le rôle de DPO. À l’ADPO, nous recommandons à toutes les entreprises qui ont à l’époque nommé un CIL de continuer dans la même dynamique et de prendre les devants en nommant rapidement un DPO.
Propos recueillis par Pierre Landry
SE PRÉPARER AU RGPD EN 6 ÉTAPES
1 Désigner un pilote
2 Cartographier les traitements de données personnelles
3 Prioriser les actions à mener
4 Gérer les risques
5 Organiser les processus internes
6 Documenter la conformité
HÉLÈNE LEGRAS
• 1982 Licence de droit, Université Paris XIII
• 1991-2007 Juriste nouvelles technologies chez Framatome
• 1998 Maîtrise de droit, Université Paris II Assas
• 2007 CIL mutualisé Groupe Areva
• 2016 Vice-présidente de l’ADPO
• 2017 DPO Groupe Areva