Module 4 DPO et certifications
Le délégué à la protection des données
Mission
- Informer et conseiller l'entreprise : diffuser une culture et éclairer les personnes
- Contrôler la conformité : cela implique le rencensement des activités (cf registre)
- Jouer un rôle d'interface entre l'organisme, la CNIL et les personnes concernées
→ sorte de chef d'orchestre
Important
- Désignation généralement non obligatoire (sauf organisme public, données sensibles,…), mais fortement conseillée
- Le DPO n'est pas responsable personellement de la conformité
- Le DPO peut être interne ou externe
- Le DPO peut être à temps partiel, mutualisé entre plusieurs entreprises,…
Registre des activités de traitement
https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
- Obligatoire, sous forme écrite (papier ou électronique)
- Le sous traitant doit tenir un registre spécifique
→ registre plus simple pour es entreprises de moins de 250 salariés.
→ les organismes publics doivent communiquer le registre sur simple demande
Analyse d'impact de la protection des données (PIA)
- Décrire les traitements
- Evaluer sa conformité avec le RGPD
- Identifier les risques de ce traitement
- Le cas échéant, traiter les risques
→ "Que risquent les personnes dont je vais traiter les données ?" PAS les risques de l'entreprises.
Obligatoire pour les traitement à risques pour les droits des personnes.
- prise de décision automatisée
- traitement à grande échelle
- surveillance systématique
- personne vulnérable
- …
C'est le responsable du traitement qui doit s'assurer que si PIA doit être mené, et s'il l'a effectivement été. Il peut être conseillé par le DPO.
Sanction : 10 millions d'euros ou 2% du CA mondial.
Notification de violation de données
- documenter les violations (confidentialité, disponibilité, intégrité)
- notifier à la CNIL les violations de données présentant un risque pour les droits et les libertés et des personnes (délai 72h)
- notifier les personnes concernées des violations de données présentant un risque pour leurs droits et libertés (délai 72h)
Sanction : 10 millions d'euros ou 2% du CA mondial.
Code de conduite et certification
Code de conduite
- juridiquement contraignant pour les professionnels d'un secteur
- Désignation d'un organisme chargé du contrôle
Certification de processus
- démarche volontaire
- valable pour 3 ans
Certification DPO
- démarche volontaire
Ressources
Le registre
L’analyse d’impact
- Délibération de la CNIL adoptant les lignes directrices relatives à l’analyse d’impact
- Lignes directrices relatives à l’analyse d’impact
- Liste des types d’opérations pour lesquelles une analyse d’impact est requise
- Outil d’analyse d’impact proposé par la CNIL
Documentation détaillée complémentaire
- La méthode
- Les modèles
- Les bases de connaissance
- Application aux objets connectés
- Étude de cas « CAPTOO »
- Infographie Analyse d’impact
Attachments
- 2017 guide du sous-traitant.pdf (597kb)
- 2018 PIA Internet des objets.pdf (921kb)
- 2018 PIA IoT.pdf (904kb)
- 2018 PIA bases de connaissances.pdf (1000kb)
- 2018 PIA infographie.pdf (3.55Mb)
- 2018 PIA knowledge bases.pdf (853kb)
- 2018 PIA methode.pdf (564kb)
- 2018 PIA methodology.pdf (525kb)
- 2018 PIA modèle.pdf (497kb)
- 2018 PIA templates.pdf (453kb)
- 2018 PIA étude captoo.pdf (692kb)
- 2018 liste traitements avec PIA requis v2.pdf (157kb)
- 2018 registre basique.pdf (378kb)