Data protection officer (DPO) : protéger vos données personnelles

Directeur des Affaires juridiques et réglementaires de l’Agirc-Arrco, José Miralles assure également, depuis mai dernier, la fonction de Data Protection Officer (DPO), en français délégué à la protection des données (DPD). Il nous décrit les contours et le contenu de ce nouveau métier instauré par la réglementation européenne.

Qu’est-ce qu’un DPO ?

José Miralles : Cette nouvelle fonction émane du règlement général sur la protec­tion des données (RGPD), appliqué dans toute l’Union européenne le 25 mai 2018. Il rend obligatoire la désignation d’un Data Protection Officer pour les autorités et organismes publics, pour les organismes réalisant régulièrement et systématiquement des traitements à grande échelle de données à caractère personnel, ainsi que pour les organismes traitant d’un volume important de données dites « sensibles ». Pour tous les autres, la nomination d’un DPO est facultative. L’Agirc-Arrco relève évidemment du champ obligatoire. 

Quel est le rôle du DPO ?

J. M. : Jusqu’à présent, les organismes déclaraient leurs fichiers et traitements de données à la CNIL. Le RGPD met fin à ce régime déclaratif. C’est désormais le DPO, dans chaque organisme, qui s’assure en premier lieu de la protection des données personnelles. De son côté, la CNIL contrôle le respect et la conformité des organismes aux dispositions du RGPD, avec pour interlocuteur privilégié le DPO. Celui-ci joue ainsi le rôle d’un chef d’orchestre, pilotant et coordonnant la mise en place de tous les processus internes de conformité et de contrôle. Par exemple, dans le cas d’une violation de données personnelles susceptible d’engendrer des risques pour les personnes concernées par les traitements, le RGPD institue l’obligation d’en faire le signalement à la CNIL, dans un délai de 72 heures, et d’en informer également les victimes si le risque est élevé. Il s’agit donc de déployer, en synergie avec toutes les parties prenantes, en particulier avec les équipes de la DSI, un dispositif d’alerte très réactif.

Quels seront vos premières actions en tant que DPO ?

J. M. : Au sein de la Direction juridique, une équipe à renforcer est dédiée à la protection des données personnelles. Première étape, nous avons travaillé au déploiement d’un réseau de référents en matière de protection des données dans les directions et à la sensibilisation de l’ensemble des salariés, au moyen notamment d’un e-learning. L’objectif est de mieux les informer, les conseiller et les accompagner dans la mise en œuvre du RGPD, qui ne compte pas moins de 99 articles, introduits par 173 considérants ! Parallèlement, et en collaboration avec notre direction des Systèmes d’information, nous réalisons une cartographie qualifiée des quelque 100 opérations de traitement de données personnelles réalisées à l’Agirc-Arrco. Avec la participation de notre direction de l’Audit, des Risques et du Contrôle, nous construisons également l’architecture des procédures de mise en conformité au RGPD, à tous les niveaux : veille, information, traitement et conservation des données, alerte, contrôle. Au-delà de notre périmètre, nous allons collaborer avec les DPO des groupes de protection sociale (GPS), et poursuivre l’activité dans le cadre de l’inter-régime pour garantir partout un même niveau de protection.

REPÈRES

Les principales missions du DPO

  • Assurer l’interface avec l’autorité de contrôle (CNIL)
  • Informer en interne et en externe (sous-traitants) des obligations relatives au RGPD
  • Inventorier et documenter les traitements de données personnelles
  • Piloter la mise en œuvre des procédures et contrôles de conformité
  • Auditer et contrôler le respect du RGPD en interne
  • Informer des manquements constatés et conseiller des mesures correctives
  • Veiller à l’application du RGPD, dès la conception d’un traitement de données personnelles
  • Garantir la bonne gestion des requêtes et réclamations exercées par les individus
  • Garantir la notification des violations de données à la CNIL et aux intéressés