RGPD : quel profil pour le délégué à la protection des données ?

mercredi 6 décembre 2017

Les sociétés d'assurance doivent nommer un déléguée à la protection des données avant le 25 mai 2018, dans le cadre de l'entrée en vigueur du Règlement général sur la protection des données (RGPD). La CNIL est très pointilleuse sur le profil des candidats à DPO.

Les sociétés d'assurance et les sous-traitants opérant en délégation de gestion doivent désigner un délégué à la protection des données (data privacy officer en anglais). Cette obligation s'inscrit dans le cadre du Règlement général sur la protection de données qui entre en vigueur le 25 mai 2018. Cette personne doit avoir des connaissances spécialisées du droit et des pratiques en matière de protection de sonnées. « C'est un profil multicasquette, capable de maîtriser les sujets informatiques et juridiques à la fois », a expliqué Pierre Germain, correspondant chez Actuaris, lors d'une matinée consacrée au RGPD.

« La CNIL a récemment rejeté les nominations du DPO chez deux de nos clients », a indiqué P. Germain. « Le premier candidat était issu de la direction des systèmes d'information et était lui-même impliqué dans des projets de sécurisation informatique. La CNIL a considéré qu'il ne pouvait pas être juge et partie ». Dans une autre entreprise, la personne candidate au poste de DPO était également directrice juridique. « La CNIL a considéré qu'elle n'aurait pas assez de temps à consacrer à ses fonctions de délégué à la protection des données », indique P. Germain.

Pour les petites entreprises, « des services de mutualisation de DPO se profilent », a dit Laurent Caredda, président d'Almerys. Cela prendrait la même forme de ce qui existe déjà dans le cadre de Solvabilité II en ce qui concerne l'externalisation des fonctions clés.

Le délégué à la protection des données aura pour mission d' informer et conseiller le responsable du traitement de données ainsi que les employés sur les obligations qui leur incombent. Il devra également contrôler le respect du règlement et des règles internes, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel, et les audits. Il sera la personne responsable de dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact et vérifier l'exécution de celle-ci. Il devra par ailleurs coopérer avec l'autorité de contrôle et faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.