jeudi 19 septembre 2019    || Inscription
BanniereNews
 
 

Le Parlement Européen vient d'adopter le projet de règlement sur la protection des données personnelles, qui officialise entre autre le rôle de DPO (Data Protection Officer) dans les entreprises : l’occasion pour les intervenants du Cercle Européen de la Sécurité et des SI de faire un point sur ce règlement.

 

Le débat, animé de main de maître par notre consoeur Florence Puybareau, a permis de dégager les grandes lignes de force de ce règlement, et notamment le rôle et le profil du futur DPO, sur lequel les entreprises se posent encore beaucoup de questions. Paul-Olivier Gibert, Président de l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) a notamment cité la parution d’un ouvrage (auquel Mag-Securs a grandement collaboré) sur les bonnes raisons pour un responsable de traitement (dirigeant d’entreprise, responsables de collectivité locale) de nommer un DPO.

UN CIL peut-il être DPO ?

« En fait, argumente Paul-Olivier Gibert, un CIL (Correspondant Informatique et Libertés) peut devenir un DPO, mais il doit pour cela être pragmatique, et posséder de solides connaissances en matière juridique ». Rappelons que l’AFCDP milite pour la clause dite « du grand-père », qui permet à un CIL qui le souhaite d’être confirmé dans ses fonctions en tant que DPO. Sur la question des rapports entre le DPO et le RSSI, et notamment sur le fait de savoir si un RSSI pouvait être DPO, Paul-Olivier Gibert rappelle : « l’interconnexion avec les métiers de la sécurité informatique est primordiale », même si le règlement ne donne que quelques précisions générales sur les compétences du DPO. A ce propos, Stéphane Omnès, DPO d’Adeo Services, et présent sur le panel de la table-ronde, rappelle qu’il est rattaché à la Direction des Risques et Compliance chez Adeo, et que son poste a été créé en 2015. Lors du cocktail qui a suivi, discutant avec nous, il a admis venir «  de l’IT » avec des formations complémentaires juridiques. En tout état de cause, solides compétences techniques et juridiques semblent des préalables indispensables pour devenir DPO. Précisons que plusieurs organismes, comme l’ISEP ou HSC by Deloitte proposent des formations de DPO pour être en conformité avec le futur règlement. Enfin, Edouard Geffray, Secrétaire Général de la Cnil, déclarait (cf Mag-Securs n° 50), lors de l’Université de l’AFCDP, que « deux ans, c’est très peu ». Il faut donc se mettre en rang dès maintenant pour être « compliant » avec le règlement européen, notamment en termes de formation des futurs DPO. 

La sanction d’image, un enjeu réel ? 

L’avocate Garance Mathias a évoqué l'aspect sanctions : Maître Mathias a rappelé que, si les conséquences financières en cas de manquement au règlement européen pouvaient devenir dissuasives (jusqu’à 4% du chiffre d’affaires mondial), alors que jusqu’à présent elles n’étaient que symboliques, la sanction en termes d’image pouvait être très marquante dans l’opinion. Ce point demeure sujet à caution : il y a quelques années, l’annonce par Alex Türk (alors Président de la Cnil) de sanctions vis-à-vis du prestataire de cours à domicile Acadomia, suite à des commentaires peu élogieux de professeurs sur leurs élèves, avait presque conduit la société à changer de nom. Il ne semble pas aujourd’hui que les sanctions à l’encontre de Google émeuvent particulièrement l’état-major ni même l’opinion, même si Google proteste régulièrement de ses bonnes intentions : il faut dire que la taille de l’entreprise n’est pas la même…  Néanmoins, hasard de calendrier ou pas  ? Ce matin, la page d’accueil de Google présentait sa politique de confidentialité, qu’il fallait lire et accepter avant de pouvoir continuer à surfer...

En conclusion, un point a eu lieu sur les données de santé, particulièrement sensibles en termes de données personnelles : c’est un sujet dans lequel nous allons revenir dans le prochain Mag-Securs, mais rappelons qu’aucun équipement médical (IRM, scanner) qui peut collecter des données personnelles de santé n’est déclaré à la Cnil… 

Pour faire bonne mesure enfin, rappelons que ce règlement européen, qui vient d’être voté par le Parlement, après plusieurs années de débat, complète une actualité européenne particulièrement riche : en effet, comme le rappelle notre confrère Marc Rees (Next INpact), ce vote du règlement suit celui du Parlement sur le PNR (Passenger Name Record), c’est-à-dire le registre des données de passagers aériens (PNR), présenté il y a maintenant cinq ans. L’objectif est bien évidemment de  faciliter l'accès des services de renseignement aux données des passagers du trafic aérien, avec le but avoué de lutter contre le terrorisme.

Enfin, comme l’a souligné Guillaume Périssat dans L’Informaticien hier, le Groupe G29 des Cnil européennes, réuni le 13 avril, a mis en garde concernant le fait que «  le Groupe 29 exprime toutefois de  fortes préoccupations sur les aspects commerciaux et sur l'accès par les pouvoirs publics aux données transférées dans le cadre du Privacy Shield ».... Détail encore plus préoccupant, le texte fait référence à la directive de 1995 sur les données personnelles… alors que c’est le futur règlement qui va entrer en vigueur. 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS