Partager
Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur pinterest
Partager sur print
Partager sur email
Suite de notre épisode 1 où Elsie Fantino nous expliquait ce qu’est le RGPD.
Aujourd’hui, elle nous explique pourquoi on ne peut passer outre et quels sont les risques à le faire.
La conformité des organisations est OBLIGATOIRE depuis le 25 mai 2018. La CNIL a laissé un peu de temps aux entreprises pour s’adapter. Maintenant, plus de deux ans après, toutes les structures devraient être en conformité.
Pour autant ce n’est pas le cas, et certains dirigeants minimisent le risque. Pourtant deux médecins libéraux ont été condamnés, fin 2021 à 15 000 Euros d’amende par la CNIL pour non-conformité. Et les contrôles s’intensifient avec les moyens supplémentaires octroyés à la CNIL.
Le nombre de cyber-attaques, notamment la multiplication des attaques de rançongiciels en France, comme dans le monde, depuis plusieurs mois, est qualifiée d’« Explosion totale » par Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
L’engagement d’un délégué à la protection des données relève d’une stratégie à long terme, avec une mise en conformité, mais également un suivi régulier pour accompagner le responsable de traitement ou le sous-traitant dans le maintien de sa conformité au RGPD.
Par dérogation, les entreprises de moins de 250 salariés ne sont pas tenues de désigner un délégué à la protection des données, sauf lorsque:
Attention, par “suivi régulier et systématique à grande échelle des personnes concernées” il faut analyser cela en proportion du nombre total de personnes concernées par ce traitement. Même si cela ne concerne que 30 personnes par mois, à partir du moment où ces 30 personnes représentent la majorité des personnes concernées faisant l’objet de traitements de données à caractère personnel dans l’entreprise, la désignation d’un Délégué à la protection des données devient obligatoire.
Ceci tant au niveau des compétences techniques ou administratives, que de la mise en place de la politique de sécurité, de la charte informatique, et des process de mise en oeuvre, de tests et de vérification des résultats, mais aussi de la sensibilisation et de la formation du responsable de traitement, ou du sous-traitant, et des employés qui procèdent au traitement, chaque élément pris individuellement pouvant mettre en péril toute volonté de conformité.
La liste n’est pas exhaustive. En cas de violation, l’entreprise s’expose à des amendes administratives de la CNIL pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial, le montant le plus élevé étant retenu, le but des sanctions étant d’être dissuasives, sans préjudice de toute autre action des personnes concernées auprès d’autres juridictions (civiles ou pénales).
D’où l’importance de réaliser un état des lieux exhaustif des données contenues dans l’entreprise, des traitements qui y sont appliqués, des personnes chargées de les mettre en place, de les réaliser et de les suivre, de la licéité de ces traitement et de leur fondements juridiques, des processus mis en place, des risques potentiels de violation, des conséquences potentielles pour les personnes concernées…
Une fois cette cartographie obtenue, il est nécessaire de mettre en place des processus d’amélioration permanente pouvant garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données contenues dans le système d’information de l’organisation (institution, association ou entreprise), tant d’un point de vue technique qu’organisationnel. C’est le travail du DPO que de réaliser cette photographie à l’instant T et de vous aider à atteindre et à maintenir la conformité au RGPD.
Dans l’activité de Délégué à la protection des données à caractère personnel il n’y a pas d’agence. Il existe quelques plateformes spécialisées qui mettent en relation les entreprises avec des DPO. Ensuite il y a des ESN spécialisées dans la cybersécurité et dans le RGPD.
Il y a aussi des délégués internes (salariés), qui peuvent exécuter d’autres missions et tâches dans l’entreprise. Dans ce cas, le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêt. La plupart des délégués salariés sont soit des responsables de la sécurité des systèmes d’information (RSSI) ou des Directeurs des Systèmes d’Information (DSI) soit des juristes, voire des responsables qualité. Dans certaines institutions, et dans les grands groupes, nous rencontrons aussi des délégués mutualisés qui sont chargés de veiller à la conformité au sein de plusieurs entités.
Les délégués externes sont des prestataires de services soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions. L’avantage c’est que le DPO externe voit différents cas, différentes problématiques, alors que le délégué interne ne voit que le cas de son entreprise. Le fait d’avoir une vue plus large permet de faire face plus rapidement à une situation parce qu’on a déjà rencontré une situation similaire par ailleurs.
Après, tout dépend de vos besoins :
Voir l’épisode 1 :
Retrouvez Elsie Fantino
Sur LinkedIn : https://www.linkedin.com/in/elsiefantino/, où elle effectue régulièrement de la modération de contenus, ainsi que quelques articles.
Vous souhaitez un site beau et efficace ?
Je crée votre site web et vous offre une formation afin que vous puissiez vous-même le mettre à jour.