RGPD : DPO, code de conduite et certification

Le Règlement Général sur la Protection des Données, d’application directe le 25 mai 2018 dans les 28 Etats de l’Union européenne, constitue le nouveau texte de référence pour la protection des données à caractère personnel et impose aux cabinets de courtage d’être conformes à ses dispositions.
 

Pour faciliter le processus de mise en conformité des courtiers, PLANETE CSCA présente les thèmes traités par le règlement européen. Cette semaine, deux nouveaux points sont mis à l’honneur, à savoir le délégué à la protection des données et la mise en place par le règlement d’un code de conduite et d’un système de certification.

Le délégué à la protection des données, une nouvelle fonction mise en place par le règlement européen.
Le délégué à la protection des données (appelé en pratique DPO – Data protection officer) est une fonction nouvellement créée par le RGPD et présentée à la section 4, articles 37 à 39 ; Les lignes directrices WP 243 adoptées le 13 décembre 2016 et révisées le 5 avril 2017 donnent de précieuses indications sur ce nouveau poste.

Le responsable du traitement et le sous-traitant désignent un DPO selon la nature des traitements effectués : suivi régulier et systématique à grande échelle des personnes, traitement à grande échelle de données de santé …

Le DPO peut être mutualisé et ainsi travailler pour un groupe d’entreprise en étant salarié, par exemple, ou des entreprises juridiquement indépendantes avec un contrat de service ; la limite de la mutualisation se situant à la capacité du DPO à être disponible, à remplir ses missions et à être joignable.

Il doit avoir des connaissances juridiques approfondies et proportionnelles au nombre et à la technicité des traitements effectués ; le DPO peut être une organisation ou une personne morale.

Les coordonnées du DPO sont publiques et communiquées à la CNIL. Le DPO est associé à toutes les questions relatives à la protection des données avec l’aide du responsable du traitement ou du sous-traitant notamment pour les moyens, l’accès aux données et la formation.

Il ne reçoit aucune instruction pour l’exercice de ses missions et ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant.

Le DPO relève du niveau le plus élevé de la direction de l’entreprise, ne doit pas être en conflit d’intérêt et est soumis au secret professionnel.
Les missions sont multiples :

• informer et conseiller sur les dispositions du RGPD et sur le droit de la protection des données
• contrôler le respect de ces dispositions notamment sur la répartition des responsabilités, la formation du personnel et les audits
• conseiller en matière d’analyse d’impact
• coopérer et être le point de contact avec la CNIL

Contrairement au responsable du traitement ou du sous-traitant, le DPO n’est pas responsable personnellement de la non-conformité au RGPD. LA CNIL a précisé que le correspondant informatique et liberté (CIL) avait vocation à devenir DPO.

Le défaut d’un DPO peut entrainer une sanction s’élevant au montant le plus élevé entre la somme de 10 millions d’euros ou 2% du CA annuel mondial.
 
Les fonctions mises en place et encadrées par le règlement européen, à savoir celle du DPO, du responsable du traitement et du sous-traitant, sont également soumises à un code de conduite et à un système de certification.
 
L’élaboration d’un code de conduite et d’un système de certification pour réguler l’activité de traitement.
Les différentes autorités encouragent l’élaboration de codes de conduite permettant une bonne application du RGPD à des secteurs spécifiques ou aux petites entreprises.

Les organismes représentatifs de certaines catégories de responsables des traitements ou de sous-traitants peuvent élaborer ces codes mais aussi les modifier avec l’objectif de préciser les modalités d’application du RGPD sur les points énumérés à l’article 40.

Les codes de conduite approuvés par la CNIL s’appliquent aux responsables des traitements et aux sous-traitants. Ils sont publiés et peuvent même être étendus par la Commission au sein de l’Union.

Le contrôle du respect du code de conduite peut être effectué par un organisme agréé par la CNIL.

Les différentes autorités encouragent également les mécanismes de certification effectuée par des organismes agréés ainsi que les labels toujours avec un objectif de conformité.

La certification est volontaire et ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant ; elle est délivrée pour une durée maximale de trois ans. Un registre public consigne tous les mécanismes de certification.