Guide pratique RGPD / GDPR @DPO_NEWS

fiche 2:

 

 

@jpbichard*

 

 

Quels sont les chantiers prioritaires des **DPO (data protection officer) ?

 

Tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD à partir du 25 mai 2018. Toutes les organisations et entreprises seront elles prêtes ? Aucune certitude à moins de 9 mois de la mise en application du RGPD (cf section BONUS en fin d'article).

Pour aider l'ensemble des organisations et leurs DPO a préparer la mise en place de leur projet RGPD / GDPR, @DPO-NEWS va publier à partir d'aout 2017 en plus d'articles réguliers « accessibles » aux non-abonnés (http://bit.ly/2v50ai0) des fiches pratiques pour DPO.

En voici un extrait, la publication complète étant réservée aux abonnés de Cyberisques News.

 

Plusieurs études livrent les priorités des DPO. Celles-ci dépendent de bon nombre paramètres liées à la culture de son organisation: 

 

 

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

  1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.

  1. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)

  1. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)

  1. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)

  1. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)

  1. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)

  1. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)

  1. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)

  1. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)

  1. Le pilotage du programme (15 %)

(Source Wavestone juillet 2017)

.

Chantier RGPD / GDPR : Ou en sont les organisations ?

.

·         38% des entreprises françaises sont déjà conformes à GDPR et seulement 37% des autres entreprises pensent qu'elles seront conformes lorsque la réglementation prendra effet le 25 mai 2018

·         Contrairement aux autres pays étudiés, les pénalités ne sont pas la principale préoccupation concernant la non-conformité. La plus grande préoccupation pour les entreprises françaises est la dévaluation de la marque pouvant être causé par des articles négatifs – sur les médias classiques ou sur les réseaux sociaux.

·...       

  En moyenne, les répondants français s'attendent à ce que leur entreprise investisse 1 366 031 euros pour la conformité GDPR et la confidentialité des données d'ici le 25 mai 2018

 

**Pourquoi un DPO ?

Un auditeur interne dédié aux DCP (données à caractère personnel)

À partir du 25 mai 2018, les Délégués à la protection des données sont formellement désignés par les responsables de traitement auprès des autorités de contrôle (la CNIL en France), soit obligatoirement soit volontairement.

Un groupe d'entreprises peut désigner un seul DPO s’il est facilement joignable à partir de chaque lieu d'établissement.

Dans le domaine public, un seul DPO peut être désigné pour plusieurs organismes compte tenu de leur structure organisationnelle et de leur taille.

Dans certains cas, les associations et autres organismes représentatifs peuvent ou doivent désigner un DPO.

Chaque professionnel pourra se doter d’un DPO et il sera même obligatoire d’en désigner un dans les cas suivants :

  • si le professionnel appartient au secteur public,

  • si ses activités principales le conduise à réaliser un suivi régulier et systématique des personnes à grande échelle. La notion de « grande échelle » n’est pas définie dans le règlement mais le G29 souligne que cela pourrait être possible ultérieurement. Par exemple, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…peuvent constituer des traitements de données à grande échelle.

  • si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

.

Le DPO pourra être un salarié de l’entreprise ou un externe (cabinet d'experts regroupant des expertises juridiques, organisationnelles et techniques)

.

BONUS: 

Fiche 1: http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

 

 

En savoir plus : abonnez vous Cyberisques-News :

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

IT Leader  IHEDN

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires