Sécurité des données : quel rôle pour le DPO ?
La question de la sécurité des données personnelles constitue aujourd’hui un enjeu majeur pour les PME. Selon un récent rapport du Sénat, 43 % d’entre elles ont relevé un incident de cyber sécurité en 2020. Seize pour cent de ces attaques sont susceptibles de mettre en péril la vie d’une entreprise. Et ce, alors que les attaques au rançongiciel ont vu leur chiffre augmenter considérablement entre 2020 et 2021, selon l’Anssi. La nécessité de prévenir ce risque s’accompagne aussi de l’obligation (consacrée par l’article 32 du RGPD) de mettre en place un niveau de sécurité adapté aux risques en mettant en œuvre "des mesures techniques et organisationnelles appropriées". La question du rôle du DPO en matière de sécurité des données mérite donc d’être posée en raison de la diversité des missions qu’il doit assumer et les dispositifs qu’il doit installer.
Informer et conseiller l’entreprise
Le DPO est chargé d’informer et de conseiller les entreprises et les organisations sur les conditions à respecter pour être en conformité avec le RGPD. Il peut aussi engager des actions de sensibilisation et de formation, qui répondent aux préconisations et aux recommandations d’autorités de contrôle telles que la Cnil, qui sont régulièrement actualisées. Actions dont le Sénat a souligné qu’elles peuvent constituer des indicateurs efficaces des risques encourus ou des dispositifs établis en matière de sécurité des données. Ces dernières permettent également de concrétiser les actions déjà mises en œuvre et d’en garantir l’effectivité, notamment pour assurer une gouvernance effective. Un aspect de plus en plus souvent pris en compte par la Cnil dans le cadre de ses contrôles.
Le DPO peut également communiquer des informations et donner accès à des guides méthodologiques qui favorisent la prise en compte de bonnes pratiques en matière de sécurité des données. Il peut également avoir recours à des outils basés sur le legal design pour assurer une diffusion efficace de ces informations. Ceci, afin d’éviter une prise en compte imparfaite ou tardive.
Une approche proactive
L’article 39 du RGPD souligne également que le DPO doit tenir compte dans l’accomplissement de ses missions du risque associé aux opérations de traitement. En pratique, il doit intervenir largement, de la réflexion à la mise en place d’un projet, en utilisant certains outils comme les analyses d’impact sur la vie privée (AIPD). Ces outils intègrent la prise en compte des aspects relatifs à la sécurité des données.
Pour le DPO, le risque associé aux opérations de traitement peut être complexe en pratique, car il est de nature diverse et souvent lié à des projets internes (l’externalisation de certaines fonctions comme le traitement de la paie ou le marketing) ou externes (le recours à un prestataire lors de la mise en place d’un nouveau produit ou les relations avec de multiples partenaires en matière d’objets connectés par exemple). Pour autant, l’accent mis par le RGPD souligne la nécessité d’une approche proactive, en lien avec les obligations en termes de privacy-by-design, mais cette fois dédiées aussi à la sécurité des données.
Accorder au DPO les moyens nécessaires
Cette approche suppose que le DPO participe au suivi des projets en cours et joue son rôle de conseil en soulignant les risques existant en matière de sécurité des données en cas de non-conformité. À ce sujet, il faut relever les multiples références de la CNIL à propos des défauts ou des lacunes en matière de sécurité des données dans les sanctions prononcées depuis 2018 (2). Ces sanctions soulignent que la détermination et la mise en œuvre concrète et effective de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données constituent un enjeu central, que le DPO peut contribuer à définir, à renseigner et à documenter. Par exemple, répertorier les violations de données ou assurer leur prévention constituent des actions permettant d’assurer un suivi réactif et un pilotage d’une politique de conformité axée sur la pratique.
Ainsi, alors que la lutte contre le risque cyber constitue un enjeu majeur et un chantier d’envergure, assurer la sécurité des données personnelles l’est tout autant. Le DPO peut être, dans ce cadre, déterminant. Il apporte une réelle plus-value. À condition de lui accorder tous les moyens nécessaires, comme cela vient d’être rappelé par la Cnil dans son dernier guide pratique RGPD consacré au DPO.
(2) Par exemple dans sa délibération SAN 2019-005 du 28 mai 2019 Délibération SAN-2019-005 du 28 mai 2019 - Légifrance (legifrance.gouv.fr)
Pourquoi des paroles de DPO ?
Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.