Le Data Protection Officer: Une fonction nouvelle dans l'entreprise
()
À propos de ce livre électronique
Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données qui entrera en application le 25 mai 2018, introduit l’obligation dans certains cas de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données, pilote de la conformité de l’entreprise aux exigences du règlement européen.
Si les organismes qui sont assujettis à cette obligation, et particulièrement les grands groupes, ont d’ores et déjà intégré à leur politique de compliance les obligations découlant du règlement européen, ils n’ont pas encore tous désigné un DPO.
La fonction de DPO est un nouveau métier et les compétences requises sont autant juridiques que techniques, organisationnelles et stratégiques. Le DPO doit en effet pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».
Comment choisir son DPO ? Quels sont ses missions, pouvoirs et responsabilités ? Sur quelles bases peut-il être sanctionné ? Quels sont les outils à déployer pour permettre au DPO d’exercer ses missions ?
Le DPO apparaît comme un des acteurs incontournables du traitement des données personnelles de l’entreprise, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.
Réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience de Correspondant à la protection des données.
Grâce à cet ouvrage, découvrez les meilleures pratiques à mettre en oeuvre à destination des DPO, entreprises privées et organismes publics.
À PROPOS DE L'ÉDITEUR
Larcier Group, composé des marques d’édition juridique prestigieuses que sont Larcier, Bruylant, Promoculture-Larcier, propose des solutions documentaires adaptées aux besoins spécifiques de tous les professionnels du droit belge, luxembourgeois et français (avocats, magistrats, notaires, juristes d’entreprise,...).
Fournisseur historique et privilégié de toutes les sources du droit, son offre éditoriale est composée, notamment, de la base de données juridique la plus complète de Belgique (Strada lex), de plus de 300 nouvelles monographies par an, plus de 70 revues juridiques, plusieurs collections de Codes, de logiciels de calculs et d’un riche catalogue de formations. Larcier Group est l’éditeur numéro 1 dans le segment juridique en Belgique.
À côté de ce segment juridique, Larcier Group s’adresse également aux professions économiques et aux professions RH en Belgique avec sa marque Larcier Business et son offre éditoriale principalement numérique.
Avec Indicator, Larcier Group fait partie, depuis juin 2016, du Groupe Éditions Lefebvre- Sarrut, à présent leader en Belgique sur tous les segments de l’édition juridique et fiscale.
En savoir plus sur Virginie Bensoussan Brulé
Le Data Protection Officer: Une nouvelle fonction dans l’entreprise Évaluation : 0 sur 5 étoiles0 évaluationFailles de sécurité et violation de données personnelles Évaluation : 0 sur 5 étoiles0 évaluationCode de la sécurité informatique et télécom Évaluation : 0 sur 5 étoiles0 évaluationRèglement européen sur la protection des données: Textes, commentaires et orientations pratiques Évaluation : 0 sur 5 étoiles0 évaluation
Lié à Le Data Protection Officer
Livres électroniques liés
RGPD 2022: Traitement des données personnelles dans les organisations Évaluation : 0 sur 5 étoiles0 évaluationProtection des données à caractère personnel & PME: Comment appliquer le RGPD en 9 étapes concrètes ? Évaluation : 5 sur 5 étoiles5/5Manuel de droit européen de la protection des données à caractère personnel Évaluation : 0 sur 5 étoiles0 évaluationDroit des applications connectées: Applications – Réseau – Interfaces Évaluation : 0 sur 5 étoiles0 évaluationLe juge et l'algorithme : juges augmentés ou justice diminuée ? Évaluation : 0 sur 5 étoiles0 évaluationDroit des objets connectés et télécoms Évaluation : 0 sur 5 étoiles0 évaluationGuide pratique du RGPD: Fiches de guidance Évaluation : 0 sur 5 étoiles0 évaluationLa protection des données personnelles de A à Z Évaluation : 0 sur 5 étoiles0 évaluationOrganisation et management de la fonction juridique en entreprise: Méthodologies, outils et bonnes pratiques Évaluation : 5 sur 5 étoiles5/5Quel management pour quelle justice? Évaluation : 0 sur 5 étoiles0 évaluationIA, robots et droit Évaluation : 0 sur 5 étoiles0 évaluationDroit des systèmes autonomes: Véhicules intelligents, drones, seabots Évaluation : 0 sur 5 étoiles0 évaluationCommunication juridique et judiciaire de l'entreprise Évaluation : 0 sur 5 étoiles0 évaluationCybersécurité et RGPD : protégez votre PME: Guide pratique pour sécuriser votre système informatique et vous conformer au RGPD Évaluation : 0 sur 5 étoiles0 évaluationLe droit de la régulation audiovisuelle et le numérique Évaluation : 0 sur 5 étoiles0 évaluationCybercriminalité: Criminalité informatique en droit luxembourgeois Évaluation : 0 sur 5 étoiles0 évaluationDevenez un data pionnier !: Comprendre et exploiter les données en entreprise Évaluation : 0 sur 5 étoiles0 évaluationL'Europe du droit face aux entreprises planétaires Évaluation : 0 sur 5 étoiles0 évaluationStratégies d'instrumentalisation juridique et concurrence Évaluation : 0 sur 5 étoiles0 évaluationL’éthique des mégadonnées (Big Data) en recherche Évaluation : 0 sur 5 étoiles0 évaluationLes réseaux sociaux et le droit Évaluation : 0 sur 5 étoiles0 évaluationGuide pratique des passeports financiers européens: Fiches de guidance Évaluation : 0 sur 5 étoiles0 évaluationInitiation à l'écosytème Hadoop Évaluation : 5 sur 5 étoiles5/5Neuf étapes vers le succès: Un aperçu de la mise en œuvre de la norme ISO 27001:2013 Évaluation : 0 sur 5 étoiles0 évaluationLes défis du numérique: Penser et pratiquer la transition numérique Évaluation : 0 sur 5 étoiles0 évaluationConception des systèmes - Pilotage, informations et risques: Méthode "Maze", une méthode pour sortir du labyrinthe de la complexité Évaluation : 0 sur 5 étoiles0 évaluationFintechs, Assurtechs et Regtechs en droit luxembourgeois Évaluation : 0 sur 5 étoiles0 évaluationDictionnaire européen de la concurrence Évaluation : 0 sur 5 étoiles0 évaluationLe Guide Rapide Du Cloud Computing Et De La Cybersécurité Évaluation : 0 sur 5 étoiles0 évaluationL'Officiel 2021 des FinTech Françaises: Guide Évaluation : 0 sur 5 étoiles0 évaluation
Droit pour vous
Apprendre la T.V.A.: Décrypter et comprendre les enjeux de la T.V.A. belge Évaluation : 0 sur 5 étoiles0 évaluationTout savoir sur l'immobilier: Bail à usage d'habitation - Bail commercial - Copropriété - Gestion locative - Achat / vente d'immeubles - Aspects fiscaux Évaluation : 0 sur 5 étoiles0 évaluationDoctrine du droit Évaluation : 0 sur 5 étoiles0 évaluationDictionnaire juridique: Définitions, explications et correspondances Évaluation : 5 sur 5 étoiles5/5Dire et écrire le droit en français correct: Au plaisir des gens de robe - Couverture cartonnée Évaluation : 0 sur 5 étoiles0 évaluationPetit lexique juridique: Mots et expressions Évaluation : 0 sur 5 étoiles0 évaluationLes contrats immobiliers: Formalités et nouvelles dispositions - Loi Alur - Loi Macron Évaluation : 0 sur 5 étoiles0 évaluationL'entreprise et la vente internationale de marchandises Évaluation : 0 sur 5 étoiles0 évaluationCryptotrading Professionnel: Gagnez Votre Vie Avec Des Stratégies, Des Outils Et Des Techniques De Gestion Des Risques Éprouvés Évaluation : 0 sur 5 étoiles0 évaluationIl Était Une Fois Les Droits De L’Homme… Évaluation : 0 sur 5 étoiles0 évaluationLes accords internationaux de l'Union européenne: 3e édition entièrement refondue et mise à jour Évaluation : 0 sur 5 étoiles0 évaluationDroit du commerce international: Les fondamentaux Évaluation : 5 sur 5 étoiles5/5Procédure civile Évaluation : 0 sur 5 étoiles0 évaluationLes obligations contractuelles en pratique: Questions choisies (Belgique) Évaluation : 0 sur 5 étoiles0 évaluationNégociation en 4 étapes: Comment négocier dans des situations difficiles, du conflit à l'accord dans les affaires et la vie quotidienne Évaluation : 0 sur 5 étoiles0 évaluationPrincipes de base de la comptabilité: La comptabilité appliquée au droit belge Évaluation : 0 sur 5 étoiles0 évaluationMigrations: Idées reçues et propositions Évaluation : 0 sur 5 étoiles0 évaluationRGIE: Règlement Général sur les Installations Electriques Évaluation : 0 sur 5 étoiles0 évaluationL'évaluation des biens immobiliers: Comment estimer la valeur d'un bien immobilier en Belgique Évaluation : 0 sur 5 étoiles0 évaluationCybersécurité et RGPD : protégez votre PME: Guide pratique pour sécuriser votre système informatique et vous conformer au RGPD Évaluation : 0 sur 5 étoiles0 évaluationVous saurez tout sur le permis: Un livre rassurant pour les maudits du volant Évaluation : 0 sur 5 étoiles0 évaluationCode criminel Évaluation : 0 sur 5 étoiles0 évaluationComprendre le Droit simplement n°1: Introduction et notions juridiques Évaluation : 5 sur 5 étoiles5/5Peines, tortures et supplices Évaluation : 0 sur 5 étoiles0 évaluationDire le droit, faire justice Évaluation : 0 sur 5 étoiles0 évaluationNégocier, la clé du succès: Stratégies et compétences essentielles Évaluation : 3 sur 5 étoiles3/5Le code des sociétés: Procédures et lois comptables entourant les sociétés belges Évaluation : 0 sur 5 étoiles0 évaluationValorisation et cession d'entreprise: Opérations de fusions et acquisitions d'entreprises Évaluation : 0 sur 5 étoiles0 évaluation
Avis sur Le Data Protection Officer
0 notation0 avis
Aperçu du livre
Le Data Protection Officer - Virginie Bensoussan-Brulé
Cette version numérique de l’ouvrage a été réalisée pour le Groupe Larcier. Nous vous remercions de respecter la propriété littéraire et artistique.
Le « photoco-pillage » menace l’avenir du livre.
Pour toute information sur nos fonds et nos nouveautés dans votre domaine de spécialisation, consultez nos sites web via www.larciergroup.com
© ELS Belgium s.a., 2017
Éditions Bruylant
Rue Haute, 139 - Loft 6 - 1000 Bruxelles
Tous droits réservés pour tous pays.
Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent ouvrage, de le stocker dans une banque de données ou de le communiquer au public, sous quelque forme et de quelque manière que ce soit.
ISBN : 9782802760115
Déjà parus :
Le droit des robots, Alain Bensoussan et Jérémy Bensoussan, juin 2015.
Failles de sécurité et violation de données personnelles, Virginie Bensoussan-Brulé et Chloé Torres, 2016
Droit des drones. Belgique, France, Luxembourg, Alexandre Cassart, 2017
Droit des objets connectés et télécoms, Frédéric Forster et Alain Bensoussan, 2017
Avant-propos
Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données qui entrera en application le 25 mai 2018, introduit l’obligation dans certains cas de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données, pilote de la conformité de tout organisme aux nouvelles exigences du règlement.
Sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque.
Le DPO doit être désigné en fonction de ses qualités professionnelles, en particulier de son expertise en matière de protection des données, ainsi que de sa capacité à accomplir les missions qui lui sont dévolues, notamment celle de contrôler la mise en œuvre et l’application du règlement.
Il s’agit d’une nouvelle fonction au cœur de tout organisme dont la mission principale va être d’assister le responsable du traitement et le sous-traitant dans l’application du Règlement général sur la protection des données (RGPD).
Pour ce faire, il devra recueillir les informations auprès des directions opérationnelles afin de connaître les opérations de traitement et apprécier leur conformité au cadre légal. Il devra également informer, conseiller et émettre des recommandations.
Pour assurer la supervision de la conformité, le DPO devra être compétent à la fois en droit des données, en technique et en organisation.
Réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience de Correspondant à la protection des données.
Il fournit des informations sur les meilleures pratiques à mettre en œuvre à destination des DPO, entreprises, pouvoirs publics, universités, etc., notamment :
– Comment désigner un DPO ?
– Quel doit être son profil, sa formation, ses missions ?
– Quels sont les outils de conformité à mettre en place ?
– Comment organiser au mieux la fonction ?
– Quelle sont les nouvelles règles de gouvernance ?
– Quelles sont les obligations du DPO en matière de sécurité ?
– Quelles sont les responsabilités encourues par le DPO ?
– Sur quelles bases peut-il être sanctionné ?
Présentation des contributeurs
Virginie Bensoussan-Brulé, Avocate à la Cour d’appel de Paris et Directrice du pôle Contentieux numérique, Lexing Alain Bensoussan Avocats. Elle est coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016) et du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (Larcier, 2016).
Anthony Coquer, Adjoint au Directeur Sûreté et Délégué à la protection des données du Groupe Keolis et président de la commission Responsabilité et protection de l’Association des Data Protection Officers.
Dominique Entraygues, Déléguée à la protection des données et présidente de la commission Conformité et gouvernance de l’Association des Data Protection Officers.
Muriel Grateau, Correspondante informatique et libertés du groupe Groupama SA et vice-présidente de la commission Conformité et gouvernance de l’Association des Data Protection Officers.
Bertrand Lapraye, Correspondant informatique et libertés du groupe Alcatel-Lucent en France et conseiller en Conformité et président de la commission Pratiques professionnelles de l’Association des Data Protection Officers.
Hélène Legras, Correspondante informatique et libertés mutualisée du Groupe AREVA, Déléguée à la protection des données de NEW AREVA veillant à la conformité informatique et libertés et vice-présidente de l’Association des Data Protection Officers et présidente de la commission Ethique de l’association.
Laurence Legris, Directrice des affaires juridiques, de la conformité et de l’éthique pour le Groupe Accenture (France, Belgique, Luxembourg et Ile Maurice). Administratrice de l’Association des Data Protection Officers et présidente de la commission RGPD de l’association.
Amal Marc, Responsable juridique Cybersécurité et DPO région Europe Capgemini et présidente de la commission Cybersécurité de l’Association des Data Protection Officers.
Véronique Tirel, Correspondante informatique et libertés du Groupe JCDecaux, chargée de la conformité à la loi Informatique et libertés et référente de la commission RGPD de l’Association des Data Protection Officers.
Chloé Torres, Avocate à la Cour d’appel de Paris, Directrice du département Informatique et libertés et Correspondante Informatique et libertés Lexing Alain Bensoussan Avocats. Elle est membre de l’Association des Data Protection Officers et coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016) et du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (Larcier, 2016).
Préface
d’Alain Bensoussan
Président et fondateur de l’Association des Data Protection Officers
Le nouveau règlement européen 2016/679 sur la protection des données introduit la fonction de Data Protection Officer (DPO), ou délégué à la protection, comme garant de la conformité des traitements au sein de l’entreprise.
Le DPO est un nouveau métier de très haut niveau. Au-delà des nombreuses missions qui lui sont assignées (informer et conseiller le responsable du traitement, sensibiliser et former le personnel, contrôler le respect de la législation au sein de l’entreprise, coopérer avec l’autorité de contrôle, etc.), il doit surtout construire un nouveau modèle de gouvernance des données au sein de l’entreprise.
Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, qui sont autant juridiques, techniques, organisationnelles que stratégiques.
Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».
Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment aux nouvelles exigences de la protection des données dès la conception et par défaut. Il doit en effet pouvoir analyser de façon assez précise les aspects techniques avant de les qualifier juridiquement. Pour cette raison, il doit être rattaché à la direction exécutive de l’organisme.
Il est doté de compétences élargies par rapport au Correspondant Informatique et libertés (Cil) auquel, à terme, il se substituera. C’est un acteur incontournable du traitement des données à caractère personnel sur lequel les entreprises pourront s’appuyer.
Sa désignation sera une étape essentielle de la mise en conformité au règlement européen. Dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises. Pour ces dernières, la désignation d’un DPO est un des meilleurs moyens d’assurer une protection optimale des données.
Cet ouvrage réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers dont j’ai plaisir à signer la préface, s’inscrit pleinement dans cet objectif.
Comprendre le rôle et les missions du DPO, c’est en effet appréhender la nouvelle réglementation européenne de la protection des données et renforcer ainsi la sécurité juridique des entreprises.
Fruit de réflexions, d’échanges et de concertation sur les meilleures pratiques à mettre en œuvre quant aux missions qui leur sont dévolues, cet ouvrage permettra d’accompagner les DPO dans leurs nouvelles fonctions.
Principales abréviations
Sommaire
Avant-propos
Présentation des contributeurs
Préface
Principales abréviations
1. La désignation d’un DPO
2. Le portrait d’un DPO
3. Les missions du DPO
4. La réforme du droit de la protection des données
5. Les outils de conformité à mettre en place
6. L’organisation de la fonction
7. L’Autorité de contrôle et le DPO
8. Les sanctions
9. La sécurité et le DPO
10. La responsabilité
Liste des annexes
Annexe 1 : Bibliographie
Annexe 2 : Lexique
Annexe 3 : Liste des figures et schémas
Annexe 4 : Index
Table des matières
1. La désignation d’un DPO
Laurence Legris
Administratrice de l’Association des Data Protection Officers
1. Selon une étude de l’IAPP¹., la désignation obligatoire des Délégués à la protection des données (Data protection officer ou DPO), consacrée par l’article 37 du Règlement général de protection des données (RGPD), devrait entraîner la nomination en Europe de 28 000 DPO, dont 24 000 dans le secteur privé²..
2. Pour sa part, le G29, groupe des autorités de contrôle européennes³., considère que le DPO est un des piliers de « l’accountability » et que, par la désignation d’un DPO, l’entité publique ou privée facilitera la mise en conformité de son organisation aux dispositions du Règlement européen et s’offrira ainsi un avantage compétitif.
3. Les enjeux de la désignation d’un DPO s’inscrivent dans les fondements mêmes du règlement qui a pour vocation de renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques, telles que le profilage, les objets connectés ou l’intelligence artificielle.
4. En responsabilisant les acteurs, aussi bien le responsable de traitement que le sous-traitant, le règlement à travers les obligations d’« accountability », de protection des données dès la conception, de sécurité par défaut, prévoit que le DPO soit un acteur majeur. Défini comme gardien du respect des obligations et de la mise en conformité de l’organisation dont il sera en charge, sa désignation est par conséquent une décision clé pour les dirigeants. Elle entraîne de nombreuses questions incontournables :
– Cette désignation est-elle obligatoire ? Si oui, quand doit-il être désigné et quelles sont les conséquences d’une absence de désignation ?
– Dans le cas où un Cil a été nommé, doit-on désigner un DPO ? Le Cil est-il le DPO ?
– Si la désignation n’est pas requise, peut-on désigner volontairement un DPO ?
– Si oui, aurait-il les mêmes droits, devoirs et obligations qu’un DPO ?
– Qui doit-on désigner ? Un collaborateur ? Une société prestataire de services ?
– Peut-on recourir à un DPO mutualisé au sein d’un groupe ?
– Comment désigner le DPO ? Quelles sont les formalités ?
5. Les réponses à ces questions sont complexes, l’article 37 du règlement soulevant à sa lecture plus de questions que de réponses. Certaines d’entre elles peuvent cependant être trouvées dans les lignes directrices adoptées par le G29⁴., celles-ci proposant des clarifications et des illustrations par des exemples concrets.
1.1. Le caractère obligatoire de la désignation d’un DPO et ses conséquences
6. À la lecture de l’article 37 du Règlement européen, des lignes directrices et de l’analyse des différentes positions prises par les régulateurs au cours des derniers mois, les critères applicables pour définir le caractère obligatoire de la désignation d’un DPO et ses conséquences semblent relativement définis.
1.1.1. Les critères de désignation
7. Le délégué à la protection des données devra être nommé tant au sein des organismes du responsable de traitement que du sous-traitant, au sens du Règlement européen.
8. Le caractère obligatoire est fondé sur des critères relatifs aux risques et nullement sur la taille de l’entreprise concernée. En effet, le premier alinéa de l’article 37 du Règlement européen prévoit trois cas de désignation obligatoire d’un DPO :
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
9. Autorité publique ou organisme public – Le DPO devient obligatoire dans toutes les administrations (État, administrations territoriales, etc.), sauf au sein des juridictions agissant dans