Défis et solutions pour les DPO face au RGPD : 4 situations

Le métier de DPO est un métier d’avenir et de plus en plus prisé. Rien d’étonnant au regard du sujet !

Au vu des défis croissants de la cybercriminalité, de la revente de données personnelles et de l'utilisation détournée par les géants du net, le besoin de protéger les données personnelles n'a jamais été aussi crucial. Dans ce contexte, les entreprises et organismes publics s'efforcent de se conformer au Règlement Général sur la Protection des Données (RGPD).

Chaque année, de plus en plus de DPO sont désignés à l’autorité de contrôle, la CNIL. Le DPO est le point de contact entre la structure pour laquelle il pilote le chantier RGPD et l’autorité de contrôle. Cependant, le métier de DPO n’est pas de tout repos : même s’ils sont convaincus de l’utilité de leur fonction (on n’en doute pas) ils rencontrent parfois des difficultés et se retrouvent de temps à autre confronter à des tensions ou conflits internes.

En effet, la réglementation sur la protection des données personnelles impose à toute structure de traiter les données personnelles dans le respect de la vie privée des personnes concernées par les activités de cette structure. Et il est parfois compliqué en tant que pilote de la conformité de concilier obligations réglementaires et réalité opérationnelle.

Rien n’est plus parlant qu’une mise en situation n’est-ce pas ? Découvrez quatre exemples concrets des difficultés auxquelles peuvent faire face les DPO et les solutions qu'ils peuvent mettre en oeuvre.

Mise en situation 1 – L’utilisation de données personnelles « en production » pour effectuer des tests.

Attentes :

Dans un monde idéal, les véritables données des clients ne seraient jamais utilisées pour les tests. Même si c'est pour vérifier le bon fonctionnement de l’outil utilisé par les collaborateurs d’une structure.

Utiliser ces données à des fins autres que celles prévues est non seulement contraire au RGPD, mais présente également un risque pour la sécurité des données. En effet, cela revient à effectuer un détournement de finalité : les clients et prospects ne nous confient pas leurs données personnelles pour réaliser des tests sur nos outils de travail.

Réalité :

Les collaborateurs du service informatique ayant la charge du développement et/ou du maintien du logiciel utilisé avancent souvent que l'utilisation de véritables données est essentielle pour garantir la fiabilité des tests.

Solution :

Pour limiter les violations de données personnelles il est recommandé d’utiliser des jeux de données personnelles fictives qui ressemblent aux « vraies » données. Des outils permettent de générer de fausses données comme Faker pour la programmation python par exemple. Et si les tests doivent être réalisés avec une configuration bien spécifique liée au logiciel utilisé, il est indispensable d’anonymiser les données personnelles extraites de l’environnement de production.

Mise en situation 2 – Les durées de conservation dans l’archivage papier

Attentes :

Qu’elles soient sur support informatique ou papier, les données personnelles ne peuvent pas être conservées indéfiniment. En effet, pour chaque activité une durée de conservation doit être déterminée et limitée. Ainsi, sauf exception, une fois les délais d’archivage prescrits les données personnelles doivent être supprimées.

Réalité :

Les durées de conservation ont souvent du mal à être appréhendées du fait des habitudes prises par les collaborateurs. Les logiciels ne sont parfois pas ou mal paramétrés sur la suppression automatique des données et la conservation « au cas où » peut-être encore présente au sein de beaucoup de structures. Concernant l’archivage papier, il est possible de faire appel à un prestataire dédié. Ce dernier suit les ordres du responsable de traitement en termes de destruction mais faut-il encore bien déterminer en amont la durée de conservation de ces documents. Il arrive que certains d’entre eux se retrouvent stockés pour une durée indéterminée et la destruction devient un surcoût. Ainsi les dirigeants sont frileux quant au fait de dédier un budget qui n’était pas forcément prévu à la base.

Solution :

Certes, la destruction d’une grande quantité de documents peut représenter un coût important. Cependant, il est souvent révélateur de comparer le coût que représente le stockage des données et le coût de la destruction. En effet, sur le long terme, le stockage peut coûter plus cher que la destruction.

Par ailleurs, le fait de ne pas respecter le principe de durée de conservation des données personnelles peut vous couter encore plus cher (20M d’euros ou 4% du chiffre d’affaires annuel), bien plus cher qu’un stockage illégal ou une destruction.

Mise en situation – Sensibilisation sur les process existants

Attentes :

L’arrivée du RGPD a eu pour conséquence l’émergence de nouvelles procédures pour les organismes (par exemple : la gestion des demandes d’exercice de droits, la gestion des violations de données personnelles, la gestion d’un projet privacy by design…). En principe, le processus est assez simple : la mise en place d’une nouvelle procédure = l’application de cette dernière par l’ensemble des collaborateurs.

Réalité :

Le RGPD est parfois vu dans certains organismes comme quelque chose de très contraignant et inutile, que nenni !

Si les procédures ne font pas l’objet d’une sensibilisation récurrente, les collaborateurs ne se saisiront pas du sujet. Cela peut poser un problème dans certaines situations impliquant le respect de délais réglementaires, par exemple pour le traitement de l’exercice de droits des personnes dans un délai d’un mois maximum. En effet, une mauvaise gestion des demandes peut amener à des plaintes auprès de l’autorité de contrôle, la CNIL, et ainsi à une sanction pour votre organisme. (Retrouvez notre guide sur une gestion optimale des demandes d'exercices de droits)

Solution :

Le RGPD est un sujet important qui doit être saisi par l’ensemble des collaborateurs d’une structure. La rédaction et la mise en place de nouvelles procédures permettant de respecter la réglementation doit absolument faire l’objet d’une sensibilisation particulière des équipes. À cela peut s’ajouter la multiplication des supports et des moyens de diffusion de bonnes pratiques : infographies, affiches, ateliers métier dédiés, etc.

Mise en situation – Implication de la direction

Attentes :

Le responsable de traitement (représenté par le DG, le PDG, etc.) met à la disposition du DPO tous les moyens nécessaires pour exercer ses missions liées à la mise en œuvre et au maintien de la conformité RGPD de la structure. Par ailleurs, le DPO doit rendre compte au niveau le plus élevé de la direction.

Réalité :

Certaines directions ne sont pas ou peu sensibilisées au projet de conformité RGPD, n’y voit pas l’intérêt et ne font pas de la protection des données personnelles un chantier prioritaire. Il arrive que certaines structures désignent un DPO « vitrine » afin de respecter l’obligation réglementaire associée mais ne donne pas réellement les moyens au DPO (manque de budget, d’outil, de ressources humaines). Ainsi, le DPO peut se voir limiter dans la réalisation de ses missions et peut manquer cruellement de soutien de la part de la direction.

Solution :

Afin de bloquer une telle situation, il est possible de prévoir un échange plus informel en rappelant les enjeux financiers pour la structure en illustrant son propos par des exemples de sanctions CNIL survenues dans un secteur d’activité similaire. Il peut être également nécessaire de rappeler à la direction qu’outre l’aspect financier de la sanction, un enjeu réputationnel existe bel et bien car celle-ci peut être rendue publique.

En conclusion, le RGPD est une réglementation essentielle dans notre monde numérique en évolution rapide. Les défis auxquels sont confrontés les DPO sont nombreux, mais avec une approche proactive, une sensibilisation continue et l'engagement de la direction, la conformité est à portée de main. Les entreprises et organismes doivent reconnaître et valoriser le rôle crucial du DPO pour garantir la sécurité des données personnelles.