RGPD : quel profil pour le délégué à la protection des données ?
Les sociétés d'assurance doivent nommer un déléguée à la protection des données avant le 25 mai 2018, dans le cadre de l'entrée en vigueur du Règlement général sur la protection des données (RGPD). La CNIL est très pointilleuse sur le profil des candidats à DPO.
Les sociétés d'assurance et les sous-traitants opérant en délégation de gestion doivent désigner un délégué à la protection des données (data privacy officer en anglais). Cette obligation s'inscrit dans le cadre du Règlement général sur la protection de données qui entre en vigueur le 25 mai 2018. Cette personne doit avoir des connaissances spécialisées du droit et des pratiques en matière de protection de sonnées. « C'est un profil multicasquette, capable de maîtriser les sujets informatiques et juridiques à la fois », a expliqué Pierre Germain, correspondant chez Actuaris, lors d'une matinée consacrée au RGPD.
« La CNIL a récemment rejeté les nominations du DPO chez deux de nos clients », a indiqué P. Germain. « Le premier candidat était issu de la direction des systèmes d'information et était lui-même impliqué dans des projets de sécurisation informatique. La CNIL a considéré qu'il ne pouvait pas être juge et partie ». Dans une autre entreprise, la personne candidate au poste de DPO était également directrice juridique. « La CNIL a considéré qu'elle n'aurait pas assez de temps à consacrer à ses fonctions de délégué à la protection des données », indique P. Germain.
Pour les petites entreprises, « des services de mutualisation de DPO se profilent », a dit Laurent Caredda, président d'Almerys. Cela prendrait la même forme de ce qui existe déjà dans le cadre de Solvabilité II en ce qui concerne l'externalisation des fonctions clés.
Le délégué à la protection des données aura pour mission d' informer et conseiller le responsable du traitement de données ainsi que les employés sur les obligations qui leur incombent. Il devra également contrôler le respect du règlement et des règles internes, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel, et les audits. Il sera la personne responsable de dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact et vérifier l'exécution de celle-ci. Il devra par ailleurs coopérer avec l'autorité de contrôle et faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.
À voir aussi
Optique : Un courrier de la Cnil épingle les complémentaires
Fraude : Vers un partage asymétrique de données entre AMO et OCAM