Le 25 mai, le nouveau règlement général sur la protection des données (RGPD) est entré en vigueur et a abrogé la directive précédente de 1995. Cette nouvelle réglementation est qualifiée de révolution en termes de régulation de l’économie numérique et implique des conséquences importantes pour toutes les entreprises (PME, multinationales, …). Cela permet à chacun d’avoir accès à ses propres données, de les modifier, de les limiter, mais aussi de s’opposer à leur utilisation.

 

Les objectifs du RGPD

Ce nouveau règlement vise principalement à sensibiliser les entreprises à la culture des données. D’une certaine manière, le RGPD donne plus de droits sur vos données. Les entreprises sont essentiellement invitées à recenser leurs données, à définir clairement leur utilité et à développer une réelle gestion des risques de celles-ci. Une amélioration de l’évaluation des risques des données est donc requise. Par ailleurs, les entreprises doivent être en mesure de garantir la sécurité de leurs données (que ce soit celle des clients ou celle des employés). La responsabilité de la mise en œuvre de la protection des données incombe uniquement à l’employeur, qui est considéré comme le responsable du traitement. Une demande d’autorisation d’utiliser les données doit être faite, expliquant la légitimité des données. La loi RGPD reprend les principes déjà établis dans la plupart des pays européens, tels que le consentement, le droit à l’oubli, la suppression d’informations au-delà d’un certain temps, le choix d’un gestionnaire de données, etc. Les sanctions sont plus lourdes que dans l’ancienne réglementation. En effet, en cas de non-respect, l’amende peut atteindre 4% du chiffre d’affaires. En cas de suspicion d’abus, toute personne peut déposer une plainte gratuitement auprès de l’autorité de contrôle de la confidentialité. En résumé, chaque utilisateur peut, s’il le souhaite, prendre le contrôle de ses données et les gérer. Mais le RGPD permet avant tout une consolidation et une homogénéité des lois relatives à la protection des données à l’échelle européenne. Cela empêche les entreprises de tirer parti des failles dans certains pays.

 

Conformité au RGPD

La première étape à la mise en conformité de la loi RGPD consiste à envoyer de nouvelles conditions d’utilisation des données aux utilisateurs. Le règlement général sur la protection des données est entré en vigueur le 25 mai 2018 et fournit un cadre de conformité modernisé pour la protection des données. En raison de leur portée extraterritoriale, les entités opérant aux États-Unis devraient en prendre note et envisager de se conformer à la réglementation. Même si le mandat du responsable de la protection des données, tel que mandaté par le RGPD, n’est pas nouveau et s’impose pour des entités opérant dans des pays tels que Singapour et l’Allemagne, la portée extraterritoriale du RGPD augmente considérablement le nombre de sociétés susceptibles de l’engager. L’article 37 (1) du RGPD exige la désignation d’un DPO dans les cas suivants: lorsque le traitement est effectué par une autorité ou un organisme public; où les activités principales du contrôleur ou du processeur consistent en des opérations de traitement, qui nécessitent un suivi régulier et systématique des personnes concernées à grande échelle; ou lorsque les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou des données à caractère personnel se rapportant à des condamnations pénales ou à des infractions.

En raison de la portée extraterritoriale du RGPD, de nombreuses entreprises sont tenues de recruter un DPO ou une entité tierce telle qu’un cabinet d’avocats ou un cabinet informatique pour agir en tant que leur DPO externe.

 

Critères de choix d’un DPO

Avant de recruter un DPO externe, les entités doivent prendre en compte les facteurs suivants:

  • Le DPO peut-il participer de manière adéquate au programme de protection des données d’une entité et les coûts justifient-ils le recrutement d’un DPO externe?

Contrairement à une idée répandue, les tâches du DPO ne consistent pas uniquement à éviter les violations et à coopérer avec les autorités de surveillance. En outre, le RGPD indique que les tâches du DPO sont vastes et comprennent notamment les tâches suivantes: surveiller la conformité de l’entité avec le RGPD; fournir des conseils lors des évaluations d’impact sur la protection des données; informer l’entité sur les obligations en matière de protection des données et coopérer avec diverses autorités de surveillance. Les directives du groupe de travail «Article 29» fournissent plus de précisions sur le fait qu’un DPO devrait être invité à participer régulièrement à des réunions avec les cadres supérieurs et intermédiaires et devrait également être facilement accessible au sein de l’organisation.

 

Externaliser ou en interne?

Il ne s’agit pas simplement de ressources. Les avantages de la sous-traitance d’un DPO, au lieu d’employer un membre du personnel à temps plein, avec tous les coûts qui y sont associés sont évidents. Il s’agit également de spécialisation: une organisation peut avoir besoin d’un DPO doté de compétences très spécifiques et confier cette fonction à un cabinet d’avocats spécialisé dans la protection de la vie privée est la solution la plus adaptée.

Cela permet également d’éviter les soucis liés à la recherche d’un DPO possédant les compétences nécessaires. Le RGPD a entraîné une augmentation massive du recrutement d’un DPO possédant les compétences nécessaires.

La loi RGPD permet à une organisation d’employer un DPO dans d’autres activités, à condition qu’il n’y ait pas de conflit d’intérêts. (Article 38: 6).

Le délégué à la protection des données, qu’il soit salarié ou externalisé, ne peut pas être facilement licencié et ne peut être contraint par le responsable du traitement des données dans l’exercice de ses fonctions.

Les avantages sont clairs, mais il est essentiel que le rôle du DPO sous-traité soit clairement défini.

Le risque lié à l’emploi d’un DPO externalisé sur une base horaire est accru. Les coûts peuvent augmenter: il est donc essentiel que les tâches soient externalisées et définies à l’avance. Certaines organisations spécialisées dans la prestation de service d’un DPO sous-traité définissent clairement leurs responsabilités, leurs tâches et en conviennent dès le départ.