Les aiguilles de l’horloge pointent sur le mois de mai de l’année prochaine, lorsqu’une remise à plat importante des lois européennes sur la protection des données aura lieu. Le règlement général sur la protection des données (GDPR) s’appliquera dans les États membres de l’Union européenne (y compris le Royaume-Uni, avant et presque certainement après le Brexit).
Beaucoup d’articles ont été écrits sur les sanctions encourues en cas de non-conformités (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global d’une entreprise) et sur les changements apportés aux approches telles que le consentement, la responsabilité et les droits des personnes concernées. Cependant, ce qui a peut-être été négligé est qu’il introduira une base statutaire pour un rôle qui n’a jusqu’à présent jamais eu qu’un statut informel, à savoir un correspondant informatique et libertés (CIL), aussi nommé Data Protection Officer (DPO).
Jusqu’à présent, du moins au Royaume-Uni, mais aussi dans une grande partie de l’Europe et du reste du monde, le rôle de correspondant informatique et libertés a été plutôt vague. Le cadre européen de la protection des données actuel date d’une directive de l’UE de 1995.
À cette époque, les “données” étaient presque exclusivement observées dans un contexte informatique et les premières personnes à avoir reçu le titre informel de CIL étaient pour la plupart des personnes issues d’une filière ICT, ceux qui pouvaient comprendre le flux de données informatisées et identifier et “protéger” les données relatives à des personnes identifiables.
Dans les années qui ont suivi, la technologie ayant imprégné toutes nos vies à tel point que nos êtres numériques se déplacent avec nous partout où que nous allons, les attentes concernant un correspondant informatique et libertés se sont considérablement élargies et diversifiées.
Aujourd’hui, un CIL est la voix de la conformité en matière de protection des données au sein d’une entreprise. On s’attend à ce que ce dernier soit en mesure d’aider les entreprises à respecter leurs obligations légales, mais maintenant cela concerne autant le respect des droits à la vie privée des individus, que d’être ouvert, juste et transparent avec les informations personnelles des personnes concernées.
Il s’agit bien sûr encore de cybersécurité, mais à l’heure actuelle cela engobe tellement d’autres choses que les personnes qui détiennent ce titre proviennent d’horizons très divers, nous avons toujours ceux venant de la filière ICT, mais aussi d’autres venant du monde légal, de l’univers de la conformité, du service client et de bien d’autres domaines encore.
Le GDPR non seulement formalise le rôle mais aussi le mandate auprès de nombreuses entreprises. Par exemple, tous les organismes publics en auront besoin et, bien que la définition d’”organisme public” ne soit pas tout à fait claire, au Royaume-Uni, il est fort probable que cela corresponde à une “autorité publique” pour servir la Freedom of Information and Human Rights law.
Cela signifie que de très petites entreprises auront le devoir légal d’avoir un correspondant informatique et libertés, par exemple, les conseils paroissiaux et toutes les écoles publiques.
Mais le rôle est également obligatoire pour les entreprises dont les activités de base impliquent un “suivi régulier et systématique des données des personnes concernées à grande échelle”, ou si leurs “activités de base” impliquent un traitement à grande échelle de données particulièrement sensibles (telles que les données relatives à la race, à l’origine ethnique d’un individu, aux croyances religieuses, à la santé, à la vie sexuelle ou aux condamnations criminelles).
Des directives supplémentaires (bien que non rédigées d’une manière claire et pratique) ont été produites par ce que l’on appelle le Groupe de travail de l’article 29, un groupe de représentants des organismes de réglementation de la protection des données en provenance de l’ensemble de l’UE. Ces directives expliquent au moins que les “activités de base” n’incluent pas le traitement des informations du personnel dans le cadre des activités des départements ressources humaines (une situation contraire aurait sans doute mené à l’obligation pour un employeur d’avoir un CIL).
Le GDPR apporte également une certaine structure et définit certaines des qualités et obligations requises au niveau des CIL. Il dit qu’un CIL doit :
- Agir de manière indépendante.
- Ne pas accepter d’ordres de son employeur.
- Détenir une connaissance approfondie de la loi sur la protection des données.
- Avoir à disposition des ressources suffisantes.
- Ne pas être renvoyé simplement pour avoir accomplir sa mission.
- Rapporter directement au “niveau le plus élevé de l’entreprise”.
Un correspondant informatique et libertés n’a pas nécessairement besoin d’être nommé en interne, le GDPR précise que le rôle peut être rempli par un contractuel et peut être partagé avec plusieurs entreprises. Sans aucun doute cette possibilité sera très utile, même si elle générera nécessairement un coût, notamment pour les petites entreprises qui auront du mal à trouver en interne une personne pour assumer cette tâche.
Dans tous les cas, comme l’indiquent les lignes directrices fonctionnelles de l’article 29, il existe un risque de conflits d’intérêts et bien qu’on ne puisse empêcher à un CIL d’occuper un autre poste, certains rôles néanmoins incompatibles avec celui de CIL, comme par exemple les postions de PDG, CFO, chef du marketing, RH ou IT.
Alors, que se passe-t-il si une entreprise doit nommer un correspondant informatique et libertés dans le cadre du GDPR, mais ne le fait pas ? Eh bien, en théorie, une telle infraction pourrait relever d’une amende de “niveau inférieur” allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel global.
Je dis “en théorie” parce que je vais manger mon chapeau si un régulateur de la protection des données impose une telle amende uniquement pour un défaut de nomination d’un CIL. Cependant, une situation qui peut arriver serait celle où le défaut de nomination soit un facteur additionnel ou aggravant lorsqu’il sera considéré avec l’ensemble des autres points faibles certainement plus importants.
Mais d’une manière générale, ne pas nommer un CIL lorsque ce rôle s’avère nécessaire (ou même ne pas nommer un responsable de la conformité de la protection des données, même s’il n’est pas nécessaire de nommer un CIL à proprement parlé) revient à manquer une opportunité d’avoir une personne en place pour superviser la conformité et conduire des améliorations organisationnelles dans ce qui va devenir un domaine réglementaire d’importance, et qui va représenter un risque légal majeur au cours des prochaines années.
Billet inspiré de GDPR: who needs to hire a data protection officer?, sur Sophos nakedsecurity.