Moi DPO (1/4) : Démarrer une mission de délégué à la protection des données personnelles

Prise de fonction DPO

Cet article démarre une série de publications intitulée « MOI DPO » dont l’objectif est de guider le délégué à la protection des personnelles (ou DPO pour Data Protection Officer) dans leurs fonctions, qu’ils aient été désignés ou soient en passe de le devenir. La première étape de ce guide « MOI DPO » aborde donc de manière globale la prise de fonction du DPO. Quelles sont les modalités pratiques de prise de fonction, les points à surveiller et de vigilance, ainsi que les premières étapes de la prise de poste. Dans cette série, nous détaillerons plus en détails les différentes briques qui ne touchent pas à la prise de fonction du DPO mais qui auront trait à l’exercice pratique de la mission (organiser le projet de conformité, quels documents ou outils utiliser, se préparer à un contrôle CNIL, gérer les relations de sous-traitance, former les collaborateurs, etc.).

Quand devenir DPO ?

Ce point a déjà été abordé dans un article publié par Digitemis sur le portrait-robot du DPO en France. Passons sur le rappel historique quant à l’origine de la fonction afin d’identifier à quel moment une entreprise doit désigner un DPO. Pour rappel, un DPO devra être désigné de manière obligatoire dans les cas suivants énumérés par le RGPD :

– dans le secteur public

– dans le secteur privé lorsque les activités de base des organismes les amènent à traiter de manière régulière et systématique des données personnelles à grande échelle ou à traiter des données sensibles ou relatives à des condamnations pénales et infractions à grande échelle

Hors ces cas, la désignation d’un DPO est fortement recommandée que ce soit pour le fait d’avoir un référent sur la gouvernance des données personnelles dans votre structure, ou celui de jouir d’une image auprès du public indiquant que votre entreprise a à cœur la protection des données personnelles et des droits et libertés des personnes. Dans tous les cas, même si aucune désignation officielle d’un DPO n’a lieu auprès de la CNIL, les entreprises ont l’obligation de se mettre en conformité aux obligations de la règlementation en matière de protection des données personnelles et un référent sur la question devra prendre le sujet en main.

Sur la désignation en pratique, elle se fait au travers d’un service dédié à cet effet sur le site web de la CNIL. Pensez à vous munir d’un certain nombre d’informations avant afin d’éviter d’avoir à recommencer une désignation qui n’aurait pas été prise en compte par l’expiration de la session. Les informations qui vous seront utiles sont les suivantes :

– le numéro SIREN de l’entreprise qui désigne le DPO

– les coordonnées du responsable légal (nom, prénom, adresse électronique du dirigeant)

– les coordonnées du contact CNIL (l’interlocuteur privilégié de ses services) ;

À la fin de la désignation en ligne, un récapitulatif de la désignation est proposé au format PDF. Il est conseillé de télécharger ce document car il ne sera pas joint aux courriers électroniques de confirmation de la désignation (dont les destinataires sont le représentant de l’organisme déclarant, la personne chargée de la désignation et le représentant de l’organisme désigné).

Pourquoi devenir DPO ?

Le DPO, qu’il exerce ses missions à temps plein ou temps partiel, demeure un métier à part entière qui permet de prendre part à tous les aspects de la vie de la société. Dans le cadre de ses missions il est amené à collaborer avec l’ensemble des métiers de l’entreprise afin d’en apprendre plus sur les différents processus qui peuvent être mis en place par l’entreprise au regard du traitement des données personnelles.

Le DPO doit être également au courant des dernières nouveautés en ce qui concerne l’actualité de la protection des données personnelles et de la sécurité. Il peut ainsi développer ses connaissances sur ces sujets passionnants. L’alliance des connaissances juridiques et techniques en fait un métier extrêmement enrichissant pour quiconque s’y intéresse.

À noter également, que l’article 37.5 du RGPD prévoit clairement que : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».

En termes d’employabilité, le DPO n’est pas en reste. Il s’agit d’un métier en forte croissance avec un marché du travail en faveur des candidats qui se traduit par la publication grandissante d’offres.

Quelles précautions pour devenir DPO ?

Tout d’abord, le DPO pour pouvoir correctement exercer la mission qui lui est allouée doit pouvoir bénéficier de moyens matériels et organisationnels, et des ressources (tant financières qu’humaines) et du positionnement lui permettant d’exercer ses missions. À ce titre, rappelons que le DPO exerce ses missions de manière indépendante vis-à-vis de la direction.

Par ailleurs, exercer la mission de DPO ne doit pas impliquer de conflit d’intérêt avec les missions qu’il peut exercer par ailleurs à titre d’activité principale lorsque le DPO est à temps partiel. Il ne doit pas occuper de fonctions au sein de l’entreprise ou de l’organisme qui pourrait le conduire à déterminer les finalités et les moyens d’un traitement. L’existence d’un conflit d’intérêt doit donc s’apprécier au cas par cas.

La CNIL liste ainsi de manière exhaustive des fonctions qui peuvent entrainer un conflit d’intérêt quand celles-ci sont exercées en parallèle de la mission de DPO :

– secrétaire général
– directeur général des services
– directeur général
– directeur opérationnel
– directeur financier
– médecin-chef
– responsable du département marketing
– responsable des ressources humaines
– responsable du service informatique

La CNIL vient compléter cette liste en indiquant que d’autres rôles à un niveau inférieur de la structure organisationnelle peuvent impliquer un conflit d’intérêt, si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. Elle ajoute enfin qu’un conflit d’intérêt peut également exister par exemple si un délégué, sur la base d’un contrat de service, représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel.

Afin d’être sûr de pouvoir exercer sa mission de manière indépendante, il est recommandé de mettre en place une fiche de poste et/ou lettre de mission décrivant de quelle manière le DPO exercera ses missions. À ce titre, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) met à disposition sur son portail deux modèles librement accessibles pour la lettre de mission et la fiche de poste.

Les missions du DPO ?

Parmi les actions que doit mettre en œuvre le DPO et qui s’avèrent particulièrement chronophages, on peut notamment citer :

– la cartographie des traitements de données en vue d’établir le registre

– les actions de sensibilisation et de formation interne

– la mise en conformité des traitements existants

– ou encore la réalisation d’analyse d’impact relative à la protection des données (AIPD).

Comme nous le verrons, bien que le DPO soit le chef d’orchestre de la conformité en matière de données personnelles au sein de l’entreprise, il ne doit pas être seul pour mener à bien le plan d’action qu’il aura identifié. Ce plan d’action peut découler de la réalisation de la cartographie qui va permettre d’identifier des points de non-conformité, mais il peut également provenir dans un premier temps de la réalisation d’un état des lieux qui permettra de mettre en place un premier plan d’action macro, lequel pourra ensuite être affiné au regard des non-conformités identifiées dans la mise en place concrète du projet.

Quelles premières étapes après la prise de fonction ?

Une fois les étapes relatives à la désignation et l’acceptation de ces missions accomplies, il est temps pour le DPO de structurer et animer son réseau. Bien qu’il soit seul désigné auprès de l’autorité de contrôle, le DPO ne pourra pas avancer de manière solitaire sur la mise en conformité de l’entreprise. Pour ce faire, il  est recommandé de faire appel à un réseau au sein de l’entreprise afin de l’aider à structurer et mettre en place le plan d’action de l’organisme.

L’une des façons d’opérer cette mise en place est d’identifier au sein de chaque service de l’entreprise une personne intéressée par le sujet de la protection des données qui pourrait alors être désigné comme référent sur sa partie métier et ainsi être le point de contact privilégié du DPO pour chaque service. Nous reviendrons sur la structuration de ce réseau dans la suite de cette série consacrée au DPO.

Sources CNIL :

Devenir délégué à la protection des délégués

DPO, par où commencer

Retrouvez la série des articles « Moi DPO » :

– articles de Frédéric Le Corre : Moi DPO, les premières actions

– article d’Anne-Sophie Casal : Moi DPO, au centre au réseau

– article d’Alice Picard : Moi DPO : la constitution du registre des activités de traitement

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article