Missionner un délégué à la protection des données (DPD)
Le DPD, ou Data Protection Officer (DPO), est appelé à remplacer le Correspondants informatique & libertés (CIL) avec des pouvoirs élargis (cf les préconisations du G29, le groupe des Cnil européennes).
Sa désignation est obligatoire dans certains cas :
- Autorité ou organismes publics.
- Organismes qui du fait de leurs activités de bases sont amenées à réaliser à grande échelle un suivi régulier et systématique des personnes.
- Organismes qui du fait de leurs activités de bases sont amenées à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Plus qu’être le garant du respect des dispositions de la loi informatique & libertés, le DPD exerce un contrôle des règles internes de protection et vérifie leur bonne exécution.
Le DPD allie des compétences techniques et juridiques, doit être un bon communiquant et savoir résister aux pressions afin de fournir de manière indépendante ses recommandations. Il peut s’agir d’un poste en interne ou externalisé auprès d’un prestataire spécialisé.
Définir le périmètre des données sensibles
La réforme européenne élargit la définition établie par la loi de 1978 : informations qui font référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.
Pour les données les plus sensibles, la recommandation est de crypter ou pseudonymiser.
Les données concernées sont celles transmises volontairement par une personne (exemples : un formulaire, gestion de la médecine du travail) ou collectées du fait de son activité (exemples : un historique commercial, géolocaliser un employé). En sont exclues les données générées par un traitement.
De plus, les données traitées sur la base d’une obligation légale ne sont pas concernées (exemple : données sociales collectées par l’employeur) ainsi que les données qui peuvent porter atteinte aux droits des tiers (exemple : transmission de message entre deux personnes).
Selon le principe du privacy by default, le responsable du traitement garantit qu’il ne traite que les informations nécessaires à la finalité poursuivie, et seulement celles-ci (notion de minimisation).
Il doit, par ailleurs, recueillir le consentement explicite et éclairé des personne concernées et détruire systématiquement les données une fois la finalité terminée. L’organisation doit également s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.
Le principe du privacy by default s’applique à tous les traitements existants au 25 mai 2018, date de prise d’effet du RGPD.
Cartographier les traitements
Cela consiste à passer en revue l’ensemble des traitements de données personnelles, informatisées ou non (archives papier) afin d’identifier les processus concernés par le RGPD puis de calculer leur niveau de conformité en les soumettant à une étude d’impact (PIA ou Privacy Impact Assessment).
Pour dresser cette cartographie, les métiers sont mis à contribution, notamment le marketing et la DRH qui gèrent un grand nombre de données nominatives.
Ce travail préliminaire servira à documenter le registre actualisé recensant les traitements et leurs finalités qui pourront être demandés à tout moment par la Cnil.