Ces outils qui permettent de faciliter la gestion des DPOs

Ajouter cet article à mes favoris Cet article est dans vos favoris

Par Sarah Macé, publié le 09/08/2022

Le Règlement général sur la Protection des Données (RGPD) est entré en vigueur au sein de l’UE le 25 mai 2018. Applicable à l’ensemble des États membres de l’Union européenne, cette règlementation est venue revisiter le cadre juridique relatif aux traitements de données à caractère personnel, initialement prévu par la Directive 95/146. Sur tous les sites web, des fenêtres demandant le consentement des visiteurs quant au traitement de leurs données à caractère personnel ont alors commencé à apparaître et plus largement, un accroissement du niveau d’information des personnes a pu être relevé. Ces évolutions correspondent à l’esprit de la règlementation qui vise à redonner le contrôle aux citoyens sur leurs données. De manière plus générale, les entreprises ont dû intégrer de nouvelles règles de conformité dans un contexte de digitalisation accru et de crise sanitaire.

Pour les accompagner dans cette démarche, le RGPD (articles 37 et suivants) a prévu la création d’une fonction au sein des entreprises : le Délégué à la Protection des Données, de l’anglais Data Protection Officer (DPO). Son rôle est de veiller à l’application de la règlementation, pour assurer la protection des droits et libertés des personnes dont les données sont traitées, d'effectuer des actions de contrôle et d’assurer la formation/sensibilisation du personnel de l’entreprise. Le DPO participe donc à la protection de l’entreprise pour laquelle il est missionné, qu’il soit salarié ou prestataire, contre les risques relatifs au contenu et à l’usage des données à caractère personnel. In fine, son intervention permet de sécuriser les activités et la réputation de l’entreprise.

Disposer des moyens nécessaires à l’accomplissement de ses missions

Le législateur européen ne s’est pas contenté de créer cette nouvelle fonction, venant utilement compléter le dispositif de protection des données : il a précisé des situations dans lesquelles la désignation d’un DPO était obligatoire (RGPD, art. 37). À défaut d’entrer dans le champ de l’obligation, la désignation d’un DPO par l’entreprise est une faculté.

Quoi qu’il en soit, lorsqu’un DPO est désigné, il doit, au titre de l’article 39 du RGPD :

Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du RGPD et des autres textes en lien avec la protection des données dans les États membres ;
Contrôler le respect de l’application de la règlementation sur la protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;
Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;
Coopérer avec l'autorité de contrôle ;
Faire office de point de contact pour la CNIL sur les questions relatives au traitement.

Pour accomplir ces missions, il est prévu que le responsable de traitement (c’est-à-dire l’entreprise pour laquelle il est désigné auprès de la CNIL en France) « aide le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions [...] » (RGPD, art. 38).

Cette question des ressources va de la mise à disposition d’un budget dédié, en passant par l’adjonction de ressources humaines et, évidemment, par la sélection d’outils propres à faciliter l’accomplissement des missions exposées ci-avant. De fait, l’entrée en vigueur du RGPD a, sans conteste, créé un nouveau marché d’expertise (consultants ou avocats) mais également un marché d’édition de progiciels destinés à ces experts.

Un homme en train de travailler sur son ordinateur pendant que d'autres personnes passent derrière lui

Assurer le pilotage de la gouvernance des données et le respect des droits des personnes concernées

L’une des difficultés principales à laquelle les DPOs sont confrontés concerne la circulation de l’information, car elle est très souvent logée chez les fonctions cœur de métier participants directement au développement business de l’entreprise. C’est donc le point qui unit la plupart des outils actuellement disponibles sur le marché sur différents terrains.

Certaines sociétés développent leurs propres outils en interne, notamment pour assurer la mise à jour et la tenue du registre des activités de traitement de données à caractère personnel, dans le respect de l’obligation prévue à l’article 30 du RGPD. D’autres utilisent des CRM pour gérer les exercices de droit réalisés par les personnes concernées, autre obligation devant faire l’objet d’un monitoring fin pour assurer le respect des délais (i.e. 1 mois pour répondre aux personnes concernées, sauf exception).

Même si la tenue du registre des activités de traitement et les réponses aux demandes d’exercice de droit relèvent de la responsabilité de l’entreprise, et non du DPO, il est courant qu’il soit chargé de coordonner ces opérations, compte tenu des risques qui y sont associés. Néanmoins, les détenteurs des informations nécessaires sont des opérationnels qui doivent communiquer les informations aux DPOs.

Dès lors, entre obligations liées aux délais et cohérence de la cartographie des traitements de données avec l’activité des entreprises, les besoins des DPOs visent principalement à assurer la collaboration en interne. Certains outils sont utilisés couramment et souvent repris du fonctionnement des Directions des systèmes d’information : tel sera le cas d’outils de « ticketing » et de suivi permettant à plusieurs interlocuteurs de communiquer de l’information et de tracer les actions entreprises, ou d’autres outils initialement dédié à la gestion de projets.

De même, les DPOs s’appuient sur des outils mis en place dans le cadre d’un pilotage de la gouvernance de la donnée au sens large, initialement prévus dans le but de répondre aux besoins de cartographie du système d’information (cartographie des flux ou des applicatifs) ou assurant la centralisation des informations relatives au linéage de la donnée (identification de la donnée, définition et suivi des transformations de la donnée source vers la donnée dérivée). Ainsi, certains logiciels automatisés de gestion des données permettent de cartographier, de visualiser et de gérer le traitement de données à caractère personnel via une plateforme unique, de manière à centraliser leur gestion.

L’utilisation de ces solutions permet ainsi, en assurant le bon niveau d’information, de faciliter l’analyse des éventuels risques juridiques liés aux traitements de données et d’appliquer des mesures correctives ou les actions de mitigation des risques, dans le but de se conformer à la réglementation en vigueur. En outre, elle permet de structurer la démarche « Data » d’une entreprise, qui pourra ensuite envisager le développement d’outil d’IA au bénéfice de leurs DPOs, mais surtout pour l’ensemble des collaborateurs de l’entreprise.

Assurer la sécurité des données et notifier les éventuelles violations

D’autres solutions assurent le pilotage de la sécurité des systèmes d’information, autre obligation imposée au responsable de traitement par le RGPD (article 32). Certains d’entre eux s’appuient sur l’intelligence artificielle. En particulier, les outils de monitoring de flux de données, aujourd’hui leader sur le marché. Ainsi, ces outils permettent d’identifier les flux de données « jugés » illégitimes, notamment lorsqu’un volume trop important de données serait importé ou exporté du SI de l’entreprise. À ce titre, ces solutions protègent les données des entreprises et participe à l’accomplissement d’une autre obligation pesant sur celle-ci : tracer les violations de données (fuite, perte ou indisponibilité) et, si besoin après analyse, les notifier à la CNIL et aux personnes concernées (RGPD, art. 33). L’un des intérêts de ces solutions est d'assurer le suivi régulier et efficace des différentes mesures de sécurité techniques et organisationnelles mises en place pour assurer la protection des données (RGPD, art. 32).

Ces solutions peuvent également permettre de corriger des erreurs et d’évaluer les risques liés aux traitements de données. Grâce à leur utilisation, le travail des DPO est optimisé et l’entreprise peut respecter plus facilement les obligations prévues par le RGPD.

En outre, et parmi les outils utilisés régulièrement par les DPOs, certains sont mis à disposition par la CNIL, autorité de contrôle en matière de protection des données qui a investi dans un « lab » d’innovation appelé LINC. Tel est le cas du logiciel open source PIA qui facilite la réalisation des analyses d’impact sur la protection des données (AIPD) devant être réalisées au titre de l’article 35 du RGPD, dans une démarche de « Privacy by design ». La réalisation d’une AIPD et son suivi dans le temps sont obligatoires lorsque le traitement de données fait appel à l’utilisation de technologies innovantes, d’autant plus lorsqu’il s’agit d’un processus exclusivement automatisé, susceptible d’avoir des impacts sur les droits et libertés des personnes ou lorsque le traitement porte sur l’exploitation de données à grande échelle.

Les outils existants présentent de nombreux avantages pour le DPO, son utilisateur principal souvent seul expert du sujet au sein de son entreprise. Ainsi, en utilisant un logiciel de management à la conformité performant, le DPO peut se prémunir des risques de violation de données personnelles de la société. Ces outils permettront également de faire une étude d’impact liée à la protection des données. Les avantages de l’utilisation d’un logiciel DPO sont donc multiples.