FYTT #DPO Data Protection Officer

[/tm_pb_slide]

#Data Protection Officer

Délégué à la protection
des données personnelles

 

Synergie du droit, de l’informatique
et de la communication
au service de la Privacy

Désignation du DPO aux fins de Compliance et d'Accountability RGPD/GDPR

 


La règlementation Privacy  (RGPD/GDPR, Loi Informatique et Libertés…) renforce depuis le 25 mai 2019 les obligations de compliance et d’accountability imposées aux acteurs professionnels du marché du e-commerce. Elle les invite, en outre, à réorganiser l’architecture de leurs modèles économiques fondés sur la data de sorte qu’ils soient orientés le plus tôt possible vers une protection renforcée des données personnelles dès la genèse du processus. Cette réorientation des process mis en place au sein des entreprises, suivant les principes de “privacy by design” & “privacy by default“, est d’autant plus essentielle que la nature des données traitées est susceptible de se voir qualifier de “sensible” (données raciales ou ethniques, politiques, religieuses, philosophiques, syndicales, génétiques, biométriques, de santé, ou relatives à la vie ou à l’orientation sexuelle).

Afin d’aider les responsables du traitement et leurs sous-traitants à assurer et à se conformer à ces nouvelles obligations, le RGPD a prévu la désignation d’un nouvel acteur de la data : le délégué à la protection des données i.e. le Data Protection Officer (DPO). En pratique – à l’exception des quelques hypothèses résiduelles concernant des responsables du traitement ne répondant pas des conditions visées à l’article 37 du RGPD – cette désignation sera obligatoire pour l’ensemble des responsables du traitement et des sous-traitants.

Il en sera ainsi de tout responsable du traitement/sous-traitant dont l’activité principale consiste en des opérations de traitement qui exigent un suivi systématique et à grande échelle des personnes concernées (par exemple, opérations de profiling et de segmentation comportementale à la base d’un ciblage publicitaire ; la plupart des opérateurs du e-commerce).

Le DPO doit justifier d'une formation sur la protection des données personnelles/RGPD a minima certifiante pour répondre à l'exigence de conformité RGPD


La désignation d’un DPO est une des exigences essentielles participant de la conformité RGPD.

Deux options s’offrent au responsable du traitement : un DPO interne dit «in-house» choisi parmi le personnel de son entreprise, ou un DPO externe assurant ses fonctions en qualité de prestataire de services.

Si la désignation d’un DPO une condition nécessaire de conformité, ce n’est pas en revanche une condition suffisante.

Pour qu’il y ait conformité, en effet, aux termes du RGPD, il faut que le DPO dispose des moyens nécessaires à l’exercice de ses missions, qu’il ait la capacité d’agir en toute indépendance et bien évidemment qu’il réponde à des conditions particulières de compétences (qualités professionnelles et connaissances spécialisées en matière de droit des données personnelles) dès lors que la conformité nécessite d’être à jour des dernières informations concernant une matière en perpétuelle évolution, sur le plan légal comme jurisprudentiel.

Le cabinet propose à ses clients des solutions répondant aux deux options :

. une formation des DPO «in-house» adaptée aux conditions et effets conjugués du RGPD et des contraintes métier de l’entreprise cliente

. la compétence de notre cabinet offrant des prestations de service d’avocat – DPO “externalisé” titulaire d’un certificat de spécialisation sur la protection des données personnelles.

 

DPO in-house  &  DPO externalisé

Avocat - DPO externalisé


Désigner notre cabinet en qualité de DPO présente plusieurs atouts pour le client responsable du traitement ou sous-traitant :

.les règles déontologiques auxquelles sont soumises un avocat et qui lui font interdiction de dénoncer les activités de son client responsable du traitement, à la différence d’un DPO salarié qui, s’il rencontre quelque difficulté dans l’exercice de sa mission, est légalement dans l’obligation de saisir la CNIL afin d’en dénoncer les faits.

.le secret professionnel absolu de l’avocat, dont l’encadrement légal va bien au-delà d’une simple obligation de confidentialité contractuellement aménagée avec quelque autre fournisseur de service

.la responsabilité civile et pénale de l’avocat susceptible d’être engagée à la différence d’un DPO salarié dont la responsabilité ne peut être recherchée dans l’exercice de sa mission.

.le bénéfice de la police d’assurance «Responsabilité Civile Professionnelle» obligatoire pour tout avocat, dont les seuils de garantie peuvent atteindre plusieurs millions d’euros par sinistre.

.l’expertise d’un avocat-DPO dont le certificat de spécialisation de « Délégué à la Protection des données »  atteste de son savoir-faire juridique et informatique spécifique (sécurité informatique, audit des systèmes, intrusions, protections physiques, techniques et informatiques, process de chiffrement et d’anonymisation des données…)

.l’expérience d’un avocat du judiciaire, défenseur par nature des libertés individuelles et coutumier de l’esprit et de la stratégie du contentieux – pénal, civil ou administratif – nécessaires pour raisonnablement anticiper les risques, et essentielles pour adapter les «meilleures bonnes pratiques» en matière de gestion de la Privacy

.l’éducation scientifique et informatique d’un avocat rompu au langage et à la culture du Big Data

.les compétences d’un avocat, docteur en droit, dont les travaux de recherche ont porté sur l’exercice des droits de la défense d’entreprises confrontées au contrôle d’agents de l’administration fiscale dont les agents de la CNIL se voient désormais disposer de pouvoirs de contrôle pour partie équivalents.

.une formation universitaire spécialisée en droit européen et en droit international qui permet d’appréhender et de maîtriser dans toutes leurs nuances, les concepts transversaux sur lesquels s’appuie le droit de l’internet et de la data dans un environnement international, par essence, et particulièrement au sein de la juridiction de l’Union Européenne.

.une expérience professionnelle passée au sein de firmes et organisations internationales du droit des affaires et du commerce international majeures de la place de Paris.

DPO in-house & Relais internes
Formation & Assistance de l'ensemble des services
sur l'encadrement et la valorisation data des projets internes


Nous accompagnons les responsables du traitement et leurs collaborateurs à la sensibilisation et à l’orientation de l’ensemble de leurs process vers une conformité RGPD/Privacy adaptée à leurs contraintes métier, pour trouver le juste équilibre entre data protection compliance , accountability et développement économique de la structure.

Au regard des obligations et disponibilités qui sont les vôtres, nous planifions notre formation suivant un programme ad hoc dispensé sur plusieurs demi-journées, ou plusieurs journées en fonction des besoins de l’entreprise, et notamment l’étendue de sa transformation digitale.


Nous animons nos formations directement sur place, dans les locaux de nos clients, afin de mettre en situation le(s) opérationnel(s) choisis par les dirigeants pour être :

. soit DPO in-house unique

. soit DPO in-house assisté de plusieurs « Référents Informatique & Libertés » suivant la taille de la structure, le volume et la diversité des traitements de données exploités qui y sont exploités ou externalisées sur des serveurs extra-européens

.soit DPO mutualisé : dans certaines hypothèses, l’opérationnel choisi (comme d’ailleurs tout DPO externalisé) peut être désigné pour assurer sa mission pour le compte de plusieurs entités (d’un même groupe, ou de personnes morales distinctes) afin de mutualiser les ressources et moyens du client dans sa démarche de mise en conformité.

Les qualités personnelles, les compétences juridiques et techniques, l’indépendance et la déontologie, le savoir-faire relationnel à même de faire le lien entre les différents services de la structure, la capacité à concevoir en interne des relais d’alerte et de transmission active/passive d’une information pertinente sur les traitements de données personnelles mis en place ou nécessitant une mise à jour…sont les fondamentaux à travailler en amont avec les dirigeants responsables du traitement afin de faire le choix du ou des opérationnels à former (RSSI, Direction juridique, SI, marketing, communication…).

L’étendue et l’encadrement d’autres missions plus spécifiques attribuées au DPO in-house pourront aussi être envisagées dans le cadre de la formation.


Le cabinet propose également d’assister le DPO in-house tout au long de l’exercice de sa mission, en l’accompagnant sur un plan stratégique, en matière de sensibilisation des opérationnels, dans l’édition de notes de conformité ad hoc, dans l’ajustement des structures organisationnelles, dans la rédaction de la politique de protection de la vie privée, etc…

 

 

Gouvernance de la Privacy


Le cabinet accompagne ses clients à toutes les étapes de leur mise en conformité «Privacy ».

En édifiant avec le client une gouvernance de la conformité solide et à jour du dernier état de la réglementation et de la jurisprudence publiées à date.

En tant qu’interlocuteur privilégié de la CNIL sur toutes questions relatives au traitement, nous assistons et représentons nos clients devant la CNIL en suite de plaintes, réclamations, demandes d’exercice des droits contestées ou de saisines d’office, mises en demeure, contrôles sur pièces ou contrôles sur place de l’autorité de contrôle.

Nous représentons également nos clients devant la formation restreinte de la CNIL pouvant décider du prononcé des sanctions pécuniaires à l’issue d’un débat contradictoire.

Audits - Analyses d'impact - Registres des traitements


Audit des traitements de données à caractère personnel


Audit des modalités de sécurité matérielle et informatique


Audit des contrats (de leurs annexes et avenants), CGU & CGV, et des clauses contractuelles emportant un risque de responsabilité « informatique et libertés » non négligeable


Analyse d’impact relative à la protection des données (AIPD) i.e. «Privacy Impact Assessment» (PIA) lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées afin d’évaluer l’origine, la nature, la spécificité et la gravité de ce risque et ainsi déterminer les mesures appropriées pour assurer une pleine conformité.


Registre des traitements: établissement, tenue et actualisation au regard de la qualité de “responsable du traitement /data controller ” et/ou “de sous-traitant / data processor

Politiques d'Information, de Confidentialité & de Sécurité


Information des personnes concernées : process de recueil du consentement ; mentions d’information sur les droits des personnes (accès, rectification et opposition, limitation, effacement, portabilité…) ; procédures à établir pour un exercice effectif de ces droits sous l’aune et la limite de l’intérêt légitime du responsable du traitement; Politique de confidentialité i.e. «Privacy Policy» à communiquer aux clients


Sensibilisation des opérationnels aux «bonnes pratiques» et recommandations dans le traitement des données personnelles/ Culture de la data orientée métier


Encadrement de la Vidéosurveillance et des process et traitements fondés sur la Biométrie; Charte informatique


Mise en place de procédures de sécurité informatiques, matérielles, techniques, et structurelles « RGPDGPDR compliant » / Procédures d’alerte en cas de violations de données et de failles de sécurité…

Encadrement contractuels - Transferts hors UE - Data Processing Agreements


Transferts des données personnelles hors de l’UE & de l’EEE


Binding Corporate Rules: rédaction et actualisation des BCR applicables au sein d’un groupe d’entreprises (BCR Data controllers & BCR Data processors )


Clauses Contractuelles Types


Qualification et aménagement contractuel des responsabilités: Responsable du traitement «data controller»/ Sous-Traitant «data processor»/ Responsables conjoints du traitement


Elaboration et/ou actualisation des «Data Processing Agreements» (DPA) afin d’aménager contractuellement les qualifications, les rôles, les obligations et les responsabilités respectives du responsable du traitement et de ses sous-traitants, au regard des spécificités des secteurs d’activités de chacun et de la définition mutuellement acceptée des finalités et moyens des traitements exploités…