Missions

Data protection officer

Une mission de cartographie…

Une mission de cartographie...Les premiers instants du data protection officer au sein de l’entité qui aura requis ses services ne sont pas de tout repos. En effet, celui-ci devra recenser absolument tous les traitements de données personnelles effectués dans l’organisme où il interviendra pour mettre en lumière peut-être certains particularismes et/ou problèmes :

– les traitements localisés hors de l’Union Européenne,
– les données personnelles traitées dans l’Union Européenne mais transférées en dehors (transferts en principe interdits à moins que le pays destinataire n’assure un niveau de protection suffisant),
– les traitements de données sensibles,
– l’absence ou non de finalités légitimes, etc.

En fonction de la taille de l’entreprise ou de l’institution publique et de la catégorie de données traitées, de ce travail de titan découlera la constitution d’un « registre des activités de traitement » (article 30 du Règlement européen).

 

 

… Débouchant sur un « registre des activités de traitement »
(sous certaines conditions)

... Débouchant sur un Le législateur communautaire a défini les contours de ce registre :

  1. « le nom et les coordonnées du responsable du traitement […] ;
  2. les finalités du traitement ;
  3. une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  4. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées […] ;
  5. […] les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale […] ;
  6. […] les délais prévus pour l’effacement des différentes catégories de données ;
  7. […] une description générale des mesures de sécurité techniques et organisationnelles […].« 

 

La tenue du registre de traitements est obligatoire :

– si les données traitées présentent un risque pour les personnes,
– si les données traitées sont sensibles,
– pour un organisme public ou privé de plus de 250 employés.
Ces critères sont alternatifs.

 

 

L’élaboration des « analyses d’impact relatives à la protection des données » (DPIA) pour les traitements futurs

L'élaboration des 5 articles plus loin, l’alinéa premier de l’article 35 du Règlement général sur la protection des données parle de l’ « analyse d’impact relative à la protection des données » :

« Lorsqu’un type de traitement […], compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel […].  »

Et le second alinéa implique directement le délégué à la protection des données dans cette entreprise :

« Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné. »

Ces analyses d’impact (DPIA en anglais, Data Protection Impact Assessment, appellation communément raccourcie en PIA) sont des documents contractuels importants pour lesquels le G29, le regroupement des représentants des CNIL européennes a publié des lignes directrices spécifiques.

 

En résumé, on le voit, la mission principale du délégué à la protection des données reste la gestion / prévention des risques.