L’internet trouve son fondement dans le principe de libre-circulation de l’information, qui s’est révélé et associé avec la liberté d’expression et la libre-circulation internationale. Cependant, cette liberté est trop fragile et des abus ont été constatés. Une autorité de contrôle est alors créée pour veiller à ce règlement, un délégué pour la protection des données (DPO).
1Quel est le rôle essentiel du DPO ?
Amené à être l’autorité de contrôle de la conformité au règlement européen sur la protection des données (RGPD), il est le chef d’orchestre chargé d’informer, de conseiller les organismes sur les directives pour la réalisation d’une analyse d’impact relative à la protection des données et de vérifier enfin l’exécution. Il se charge aussi de contrôler si l’organisme est conforme au règlement et au droit national en matière de protection des données. Le DPO devra alors avoir le statut, les compétences, et les moyens d’exercer ses missions.
Ainsi il contrôle le respect du règlement, conseille le responsable de traitement sur son application et fait office de point de contact avec l’autorité de contrôle ; il répond également aux sollicitations des personnes qui souhaitent exercer leurs droits. Il devra être au courant de la documentation juridique, suivre les sujets touchant aux données personnelles et à la sécurité des systèmes d’information.
2L’internet, indissociable au stockage et transfert de données
C’est dans ce cadre que le RGPD site internet fait office de balises. L’ère de la numérisation oblige, internet est le vecteur principal des collectes et transferts de données en accélérant les transferts d’informations et en facilitant les échanges de données.
Les organismes, pour gagner en efficacité ou pour opter vers une approche humaine se tournent vers la numérisation. Par exemple, la mise en place de factures électroniques ou la souscription à l’assurance-maladie.
Presque toutes les applications sur internet nous demandent des informations personnelles.
Ce procédé engendre néanmoins la collecte des informations relatives à la personne physique.
En remplissant des formulaires, la personne avec son consentement soumet l’organisme aux règles de protection des données personnelles qui l’engage à la confidentialité, à la sécurité des données.
Les entreprises doivent se mettre en conformité à la loi informatique et libertés et au règlement général sur la protection des données des citoyens européens. Des mesures techniques doivent alors être prises soit par l’organisme soit par un sous-traitant lors du traitement des données pour sécuriser les données sensibles. Car bien que les informations fournies, données à caractère personnel sont traitées dans les bases légales nécessaires, le citoyen a droit au consentement explicite et positif, au droit à la portabilité des données personnelles, ainsi qu’au le droit à l’effacement.
C’est dans ce contexte que le DPO est sollicité pour le conseil, le suivi et le contrôle des mesures prises. Vous trouverez ici l’offre de DPO-consulting pour cette démarche de conformité.
Notons que ce nouveau règlement s’applique aussi aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE. Les sociétés non européennes sont également soumises au règlement dès qu’elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.
3En cas de litige
Dans le cas de non-conformité ou réclamation, le responsable de traitement doit obligatoirement, avec les directives du DPO, s’employer à mettre aux normes le niveau de protection et leur politique ou bien faire appel à des prestataires de services.
En cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection de données. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elles doivent également en être informées.