Protection des données en Europe : le rôle du Data Protection Officer

Protection des données en Europe : le rôle du Data Protection OfficerInterviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.




Adoption du Paquet Protection des données

Adoption du Paquet Protection des donnéesAlain Bensoussan décode le Paquet Protection des données dans son  « blog expert Droit des technologies

avancées » sur le site du Figaro. Le règlement général sur la protection des données ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adopté le 14 avril 2016 par le Parlement européen (1) après 4 années de débats intensifs, d’amendements et de votes successifs avant d’arriver à l’adoption du Paquet « Protection des données à caractère personnel ».

Le Paquet Protection des données vise à réformer la législation communautaire d’une part et à remplacer la directive générale sur la protection des données qui datait de 1995 d’autre part.

Le règlement européen sur la protection des données (2) consacre de nouveaux concepts et impose aux entreprises de « disrupter » leurs pratiques et de revoir leur politique de conformité Informatique et libertés.

Si les formalités administratives sont simplifiées pour mettre en œuvre un traitement, les obligations sont en revanche renforcées pour assurer une meilleure protection des données personnelles :

  • la démarche de « Privacy by design » (respect de la protection des données dès la conception) (Règlement, art. 25 §1) ;
  • la démarche de « Security by default » (sécurité par défaut) (Règlement, art. 25 §2) ;
  • les règles d’accountability (obligation de documentation) (Règlement, art. 24) ;
  • l’étude d’impact avant la mise en œuvre de certains traitements (Règlement, art. 35) ;
  • la désignation obligatoire d’un Data Protection Officer (DPO) (Règlement, art. 37) ;
  • les nouveaux droits fondamentaux des personnes (droit à l’oubli, droit à la portabilité des données, etc.).

(…)

Alain Bensoussan pour Le Figaro, Blog Expert « Droit des technologies avancées», « Adoption du Paquet « Protection des données à caractère personnel » », 15-4-2016.

(1) Règlement, texte consolidé adopté par le Conseil le 8 avril 2016, CONS(2016)05419(REV1).




Lettre Juristendances Informatique et libertés 66-2015

Lettre Juristendances Informatique et libertés 66-2015L’édito de la Lettre juristendances porte sur les 10 ans d’existence du Correspondant Informatique et libertés (CIL).

A cette occasion, la Cnil a rassemblé en octobre dernier les Correspondants Informatique et libertés pour célébrer les 10 années d’existence de la fonction.

Depuis la parution du décret d’application de la loi Informatique et libertés en 2005, la fonction de Correspondant Informatique et libertés (Cil) est en plein essor et il est devenu un acteur incontournable de la protection des données à caractère personnel.

L’objectif de cet anniversaire était de permettre aux CIL d’échanger sur leurs expériences, pratiques, actions et procédures en matière de conformité à la réglementation Informatique et libertés. Le rassemblement avait également pour objet d’anticiper l’adoption prochaine du règlement européen et les changements envisagés des missions et moyens du CIL.

En effet, le projet de règlement européen, encore en discussion à ce jour, positionne les CIL au centre du dispositif de régulation et prévoit notamment :

  • d’alléger les formalités préalables à accomplir par les responsables de traitements ;
  • de renforcer les droits des personnes concernées ;
  • d’augmenter le montant des sanctions ;
  • de mettre en place des outils et des procédures afin de mieux prendre en compte les principes de protection des données.

La Cnil a déjà anticipé ces évolutions des missions et moyens du CIL en créant un service dédié. Le service CIL de la Cnil accompagne ainsi les CIL dans l’exercice de leurs missions et les guides dans l’application des dispositions de la réglementation Informatique et libertés grâce à des outils dédiés, une permanence téléphonique et des ateliers d’information.

Ce service est mis à la disposition des CIL désignés par plus de 16300 organismes, dont 53% dans le secteur privé et 47 % dans le secteur public.

Un FAQ est dédié à la désignation du correspondant informatique et libertés (pourquoi et comment le désigner, quelles sont ses missions).

La page sectorielle est conscrée aux missions de contrôle sur place qui ont conduit la Cnil à une sanction financière de 50 000 € à l’égard d’une société commerciale pour manquement à la sécurité et la confidentialité des données de ses clients (Délib. Cnil 2015-379).

Lettre juristendances Informatique et libertés n°66 Novembre-Décembre 2015




Dossier spécial sur la fonction de CIL dans l’entreprise

La fonction de CIL dans l'entreprise Chloé Torres et Hélène Legras (CIL Groupe AREVA) font le point sur la fonction de CIL dans l’entreprise dans un dossier spécial publié aux Cahiers de droit de l’entreprise (LexisNexis).

Pour être en conformité avec la réglementation Informatique et libertés, deux voies s’ouvrent aux entreprises : soit continuer à déclarer leurs traitements de données à caractère personnel auprès de la Cnil, soit s’en dispenser depuis 2004, pour les déclarations dites normales, en désignant un correspondant Informatique et libertés (communément appelé « CIL »).

La désignation d’un CIL est facultative en France. Les entreprises quelle que soit leur forme sociale, peuvent continuer à réaliser les formalités préalables auprès de la Cnil pour les traitements automatisés de données à caractère personnel qu’elles mettent en oeuvre. Les entreprises sont donc amenées à se poser la question de l’intérêt de désigner un CIL, puis des modalités de déploiement de sa mission.

Au sein des multinationales, les CIL rencontrent des problématiques particulières, notamment du fait des transferts de données à caractère personnel vers des filiales établies hors de l’Union européenne. La mission d’un CIL groupe est particulière dans la mesure où il est l’interlocuteur unique de plusieurs filiales auxquelles il n’est pas rattaché.

Les contrôles de la Cnil, instaurés dès 1978, ont été renforcés et encadrés lors de la réforme de 2004. Il est probable que la tendance s’intensifie. Ces possibilités d’actions font désormais partie de l’activité normale de la Cnil qui a réalisé 458 opérations de contrôle sur place en 2012. Les contrôles sont, par ailleurs, une priorité pour la Commission comme en témoigne le programme ambitieux des contrôles adopté par la Commission, le 19 mars 2013.

La proposition de règlement général sur la protection des données intervient afin de créer un cadre juridique harmonisé pour l’ensemble des pays de l’Union européenne. Parmi les points clés de la proposition figure l’obligation, sous certaines conditions tenant à la taille de l’entreprise ou aux traitements mis en oeuvre, de désigner un « délégué à la protection des données », CIL génération 2.

Chloé Torres et Hélène Legras, « Les aspects pratiques de la fonction de CIL dans l’entreprise » (Dossier spécial) Cahiers de droit de l’entreprise n° 6, LexisNexis, Novembre 2013.




Cil : devenir avocat correspondant à la protection des données

Cil : devenir avocat correspondant à la protection des donnéesCil avocat – Alain Bensoussan revient, pour la revue Dalloz Avocats, sur l’intérêt que présente pour les entreprises la désignation d’un avocat en tant que correspondant à la protection des données.

Cette désignation est une prérogative accordée aux entreprises par la loi du 2004-801 6 août 2004, un décret du 20 octobre 2005 en ayant précisé les modalités d’application.

Ainsi, toute personne physique ou morale tiers à une société, tel que notamment un avocat, est éligible à la fonction de Cil sous réserve que l’entreprise ayant en charge la mise en oeuvre des traitements ou ayant directement accès à ces traitements comprenne moins de cinquante salariés. La proposition de règlement européen, qui devrait entrer en vigueur en 2015, exclut toutefois toute considération du nombre de salariés. Le responsable du traitement ou le sous-traitant pourra donc, lorsque le règlement sera adopté, librement choisir de désigner un délégué à la protection des données interne ou externe à l’entreprise, notamment un avocat.

Certaines dispositions particulières ont été insérées dans le Règlement intérieur du Barreau de Paris (RIBP) concernant les avocats parisiens exerçant les fonctions de Cil. Préalablement à l’exercice de cette fonction, l’avocat est ainsi tenu d’informer le bâtonnier, un registre des avocats parisiens correspondants à la protection des données personnelles étant tenu par l’Ordre.

Le recours à un avocat Cil peut revêtir un intérêt particulier au regard notamment de la complexité de certaines formalités préalables, dont les demandes d’autorisation.

Par ailleurs, la proposition de règlement européen sur la protection des données prévoit d’instituer un délégué à la protection des données en lieu et place du correspondant à la protection des données, dont la désignation sera impérative pour l’entreprise. Ce délégué, pourvu de connaissances spécialisées de la législation et de la pratique en matière de protection des données, sera doté d’un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Il devra également exercer la fonction de point de contact pour l’autorité de contrôle. De nouvelles missions relevant de la compétence des avocats…

Alain Bensoussan, Dalloz Avocats, « La possibilité de devenir avocat correspondant Cil : pourquoi et comment ? », n°8-9, août-septembre 2013 (reproduction avec l’aimable autorisation de Dalloz Avocats)




Juristendance Informatique et libertés Janvier-février 2013

Juristendance Informatique et libertésL’édito de la Lettre juristendance Informatique et libertés est consacré aux conséquences des contrôles Cnil en matière de vidéoprotection. Dans quelle mesure un client final peut-il se retourner vers l’installateur quand la Cnil, lors d’un contrôle, constate une non-conformité aux obligations légales ? Ce numéro fait également un point d’étape sur le projet de règlement européen à un an de son adoption…

Juristendance Informatique et libertés Janvier-février 2013




Le correspondant informatique et libertés relève de la direction opérationnelle

correspondant informatiqueLe correspondant informatique et libertés relève de la direction opérationnelle. Interviewé par Lucy Bateman pour aef.info, lors du petit-déjeuner débat du 26 septembre 2012 sur l’impact du bilan d’activité 2011-2012 de la Cnil sur les entreprises, Alain Bensoussan a déploré que la grande majorité des CIL (correspondants informatique et libertés) en entreprise n’aient pas un rattachement hiérarchique suffisant, en termes de responsabilités et de budget, au regard des enjeux actuels en matière de protection des données à caractère personnel.

Alain Bensoussan pour aef.info, le 27 septembre 2012 (avec l’aimable autorisation de l’agence AEF, www.aef.info)