Opinion

dpo externe

DPO externe ou interne

DPO externe ou interne 960 641 Optimex Data

Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.

dpo externalisé

Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.

La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?

Les avantages d’un DPD / DPO interne

Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.

Les inconvénients d’un DPD / DPO interne

En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Les avantages d’un DPD / DPO externe

Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.

Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.

Les inconvénients d’un DPD / DPO externe

Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.

En conclusion …

Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.

Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.

budget dpo

Quel est le coût du RGPD ?

Quel est le coût du RGPD ? 960 640 Optimex Data

Avec la mise en conformité au RGPD, quel Budget DPO pour l’organisme ?

budget dpo et rgpd

Le Règlement Général sur la Protection des Données – RGPD – fait beaucoup parler depuis 2018. Les organismes veulent bien se mettre en conformité, mais à quel prix ? Encore une nouvelle obligation qui va générer des dépenses non prévues dans les budgets prévisionnels. Pour éviter de naviguer à vue, voici une liste des postes à anticiper pour la mise en conformité RGPD.

La formation du personnel

La première étape dans la mise en conformité est le coût lié à la formation des salariés pour les sensibiliser aux enjeux de cette nouvelle obligation, aux bonnes pratiques à adopter dans leur quotidien professionnel, et aussi l’importance de respecter les process mis en place.

La sensibilisation peut s’articuler sous différents formats : e-learning avec des sessions de 20 à 30 minutes – plateforme de Digital Learning standard ou personnalisée, des sessions en présentiel animées par le Délégué à la Protection des Données – DPD / DPO – ou un formateur externe, des livres blancs, des notes internes … En fonction du format choisi, les prix sont très aléatoires.

En plus de la sensibilisation du personnel, il faut prévoir une formation plus pointue pour le Délégué à la Protection des Données ou le Référent RGPD en interne de l’organisme. Les formations les plus courantes varient de 3 à 5 jours, pour un budget de 1 500 € à plus de 3 000 € pour les formations préparant à la certification du DPO.

L’audit de conformité RGPD

Lors du lancement du projet de mise en conformité RGPD d’un organisme, il est important de faire un état de lieux de l’existant. Cela consiste à faire le tour des services afin d’identifier tous les traitements réalisés par service. A l’issu de cet audit, l’organisme est en mesure de mettre en place une cartographie des traitements, pour faciliter la rédaction du registre des traitements.

Également, l’objectif de l’audit de conformité est de préparer un plan d’actions correctives afin d’estimer le budget RGPD correspondant, en fonction des conclusions. En règle générale, un audit de conformité RGPD varie de 2 à 10 jours homme en fonction de la taille de l’organisme. Ce temps englobe les temps d’échange sur site, l’analyse par les consultants RGPD ou le DPD / DPO interne, la mise en place du plan d’actions et la réalisation de la cartographie des traitements.

En plus du coût de prestation de l’audit, il faut ajouter au budget RGPD des coûts cachés comme le temps passé par les salariés lors des échanges sur site.

La mise en place du plan d’actions

En fonction des priorités identifiées sur le plan d’actions suite à l’audit de conformité RGPD, le temps alloué à cette étape, et donc le budget RGPD afférent, est beaucoup plus délicat à estimer. En effet, certains organismes sont plus avancés que d’autres, et nécessitent moins d’ajustements. A contrario, d’autres structures peuvent avoir un panorama de mise en conformité beaucoup plus large.

Les correctifs peuvent concerner la mise à jour des documents contractuels. Cela peut nécessiter la consultation d’un cabinet d’avocat, dont le cout horaire peut varier de 100 à 300 € de l’heure en fonction de la zone géographique.

Les correctifs peuvent concerner un renforcement de la sécurité des systèmes d’information. Cela peut nécessiter l’intervention d’un prestataire spécialité en cybersécurité ou votre prestataire informatique, dont le coût jour varie de 600 à 900 €, en fonction de la thématique abordée. En plus, il est parfois primordial de mettre à jour des logiciels ou de revoir l’intégration des systèmes d’information.

Les correctifs peuvent concerner la mise en place de procédures RGPD, de documentations spécifiques, de vérification de la conformité des sous-traitant, de la réalisation d’une analyse d’impact ou autres. Cela peut nécessiter l’intervention d’un consultant RGPD ou d’un DPO externe, dont le coût jour varie de 750 à 950 €.

Enfin, il faut prendre en compte également la mobilisation du personnel qui devra relire et valider tous les livrables de vos conseils. Et cette variable dépend de la masse salariale des collaborateurs mobilisés.

La veille et le maintien de la conformité RGPD

Et comme la conformité RGPD n’est pas une fin en soi. Aucune structure ne peut prétendre être 100% conforme RGPD. Donc, il est très important de réaliser une veille juridique en continue et de s’assurer du maintien de la conformité, et de prévoir cette ligne dans son budget RGPD.

Cette dernière étape est souvent la dernière roue du carrosse, par manque de temps ou manque d’expertise. C’est pourquoi, il est souvent préférable de se faire accompagner par une agence spécialisée dans le domaine de la protection des données … comme on se fait accompagner par un expert-comptable ou un avocat en droit social.

analyse d’impact AIPD

Les analyses d’impact AIPD

Les analyses d’impact AIPD 960 639 Optimex Data

solution analyse d’impact AIPD grenoble chambery annecy lyon valence

Agence rgpd et analyse d’impact isère

Prestation d’analyse d’impact AIPD france

Analyse d’impact AIPD

Définition :

L’analyse d’impact relative à la protection des données est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement.

L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement. En effet, dans la mesure où les technologies évoluent, il est nécessaire de prévenir au maximum les risques qu’un nouvel environnement de traitement pourrait occasionner sur les données analysées.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Cas obligatoires ou non :

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29.

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL, lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Procédure :

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD.  S’agissant de la procédure, elle doit contenir :

– La description détaillée, l’intérêt et la finalité de l’opération envisagée afin de décrire précisément le traitement de données.

– Une évaluation de la nécessité de ce traitement en fonction des risques encourus sur les droits et libertés des personnes concernées

– Les mesures de sécurité et garanties envisagées pour diminuer les risques cités au préalable

Par la suite, aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Avantages de la réalisation d’une analyse d’impact :

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de sérieux, de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Sanctions en cas de non-respect :

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

Pour en savoir plus …

A quel moment devez-vous réaliser une analyse d’impact ?

A quel moment devez-vous réaliser une analyse d’impact ? 960 640 Optimex Data

L’analyse d’impact relative à la protection des données (PIA) est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement. L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Comment déterminer le caractère obligatoire de l’analyse d’impact ?

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (ex. traitement de données de localisation à large échelle) soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 tels que : la surveillance automatique, la collecte de données sensibles, la collecte de données concernant des personnes vulnérables, etc…

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL (ex. traitement mis en œuvre uniquement à des fins de ressources humaines), lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Comment réaliser une analyse d’impact ?

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD. Le logiciel permet de suivre une procédure bien définie notamment effectuant une description détaillée du traitement, en évaluant les risques et impacts sur les droits et libertés des personnes concernées et enfin en mettant en place des mesures de sécurité et garanties pour diminuer ce risques. Aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Quels sont les avantages ?

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Quels risques encourus en cas de non-respect des règles en matière d’analyse d’impact ?

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

 

L’anonymisation : Rendre impossible toute re-identification d’une personne

L’anonymisation : Rendre impossible toute re-identification d’une personne 960 640 Optimex Data
Qu’entend-on par anonymiser ?

L’anonymisation est une technique permettant d’empêcher de manière irréversible l’identification d’une donnée. L’anonymisation consiste à changer le contenu ou la structure même des données, de sorte que toutes les informations directes ou indirectes pouvant permettre l’identification d’une personne soient supprimées ou modifiées. Anonymiser une donnée suppose donc la suppression de l’identité de la personne à qui cette donnée se rapporte, rendant donc impossible la ré-identification de la personne à partir de cette donnée, et ceci même après traitement.


Pourquoi anonymiser les données ?

Cette technique ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver des données au-delà de leur durée de conservation.

Le RGPD ne s’applique pas aux données anonymisées dans la mesure où l’utilisation de ces données n’ont pas d’impact sur les droits et libertés des personnes concernées.


Quelles différences avec la pseudonymisation ?

La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l’identité de ceux-ci grâce à des données tierces. L’opération de pseudonymisation est également réversible, contrairement à l’anonymisation.


Quels procédés utilisés pour anonymiser les données ?

Deux grandes méthodes existent pour anonymiser les données. Il s’agit de :

– La randomisation : cette méthode permet la destruction du lien entre la donnée et la personne, par l’emploi de techniques telles que la troncature, la substitution, la suppression ou la mise à blanc.

– La généralisation : cette méthode se caractérise par la dilution de la donnée, ou sa généralisation par modification de sa précision, de son échelle et de sa grandeur.


Comment s’assurer que l’anonymisation est effective ?

Les autorités de protection des données européennes définissent trois critères qui permettent de s’assurer qu’un jeu de données est véritablement anonyme :

Individualisation :

    • ll ne doit pas être possible d’isoler un individu dans le jeu de données
    • Ex : une base de données de CV où seuls les nom et prénoms d’une personne auront été remplacés par un numéro (qui ne correspond qu’à elle) permet d’individualiser cette personne. Dans ce cas, cette base de données est considérée comme pseudonymisée et non comme anonymisée.

Corrélation :

    • Il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu 
    • Ex : une base de données cartographique renseignant les adresses de domiciles de particuliers ne peut être considérée comme anonyme si d’autres bases de données, existantes par ailleurs, contiennent ces mêmes adresses avec d’autres données permettant d’identifier les individus.

Inférence :

    • Il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.
    • Ex : si un jeu de données supposément anonyme contient des informations sur le montant des impôts de personnes ayant répondu à un questionnaire, que tous les hommes ayant entre 20 et 25 ans qui ont répondu sont non imposables, il sera possible de déduire, si on sait que M. X, homme âgé de 24 ans, a répondu au questionnaire, que ce dernier est non imposable.

Quelle utilisation du numéro de sécurité sociale

Quelle utilisation du numéro de sécurité sociale 960 640 Optimex Data

Le numéro d’inscription des personnes (NIR), plus couramment appelé « Numéro de sécurité sociale » est une donnée considérée comme « sensible » par le droit français. En effet, c’est un numéro personnel unique attaché à chaque personne et permettant ainsi son identification sans aucune ambiguïté. Sa collecte et son utilisation doit donc faire l’objet d’une nécessité ainsi que de mesures de protection particulières afin de garantir la protection des données personnelles.

Or, il était difficile de savoir en pratique dans quelle mesure une entreprise pouvait ou avait besoin d’utiliser ce fameux NIR, tant nous avions l’habitude de l’utiliser, notamment sur les fiches de paye du personnel. Pour pus d’information sur l’utilisation du numéro de sécurité sociale, vous pouvez consulter notre précédente Newsletter de mars 2020. (que vous pouvez consulter en cliquant ici)

Le Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire est venu clarifier la situation en établissant une liste limitative des acteurs et des finalités pour lesquels le NIR peut être utilisé.

Il détermine donc 4 secteurs pour lesquels le NIR peut être utilisé ainsi que des acteurs s’y rattachant :

  • pour la réalisation de missions en matière de sécurité sociale: Pôle Emploi, de la Caisse des dépôts et consignation, de la Caisse nationale de sécurité sociale ou d’assurance vieillesse.
  • pour la réalisation de missions en matière d’action sociale: les Collectivités territoriales, les maisons départementales ou les organismes versant les rémunérations ou les aides à l’emploi et à la formation.
  • pour la réalisation de missions en matière de prévoyance: organismes chargés de l’assurance maladie ou retraite complémentaire.
  • pour la réalisation de missions à des fins sanitaires et médico-sociales : les établissements ou services prenant en charge des mineurs et des majeurs de moins de vingt et un ans, les établissements ou services d’enseignement qui assurant une éducation adaptée et un accompagnement social ou médico-social aux mineurs ou jeunes adultes handicapés ou présentant des difficultés d’adaptation, les centres d’action médico-sociale précoce ou encore les établissements ou services mettant en œuvre les mesures éducatives ordonnées par l’autorité judiciaire par exemple.

Vous pouvez consulter la liste de l’ensemble des acteurs et des finalités de traitement par secteur directement sur le site de la CNIL.

optimex data agence spécialisée dans la protection des données personnelles

Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ? 960 640 Optimex Data

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).

Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?

Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :

  • Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
  • Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.

A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.

Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.

Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.

Optimex Data Post : BIOMETRIE AU TRAVAIL…ce qu’en pense la CNIL

Biométrie au travail … ce qu’en pense la CNIL

Biométrie au travail … ce qu’en pense la CNIL 960 640 Optimex Data

La CNIL a lancé une consultation publique sur la thématique « Biométrie sur le lieu de travail », ouverte jusqu’au 1er octobre 2018.

Optimex Data s’engage auprès de la CNIL pour travailler sur ce beau projet. Notre équipe de juristes s’est penchée sur le projet du futur règlement type et était ravie de transmettre ses idées et remarques à la CNIL.

L’objectif est de déterminer ce qui est autoriser et interdit en matière d’utilisation de la biométrie au travail. Pour faire simple, la mise en place de traitements portant sur des données biométriques est en principe interdite. Cependant, certaines exceptions sont autorisées. Et ce sont sur des exceptions que le débat est ouvert et que la CNIL lance la consultation publique.

Comme expliqué sur le site de la CNIL, l’une de ces exceptions concerne les traitements « nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d’un État membre ».

Concrètement, le traitement de données biométriques n’est autorisé que dans les situations suivantes :

  • Le contrôle des accès à l’entrée et dans les locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés
  • Le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l’organisme, à l’exclusion de tout contrôle du temps de travail de l’utilisateur.

Vous l’aurez compris, il est interdit d’utiliser des données biométriques pour contrôler les horaires de travail des salariés.

Nous attendons avec impatience les conclusions de cette consultation publique, qui seront soumises à l’examen de la séance plénière de la Commission.

Conseils de la CNIL avant les départs en vacances

Conseils de la CNIL avant les départs en vacances 960 492 Optimex Data

A la veille des départs en vacances, la CNIL livre ses conseils pour s’assurer des vacances paisibles.

En effet, les cambrioleurs se servent aujourd’hui du web et récoltent les données & informations communiquées sur les réseaux sociaux notamment pour organiser leurs cambriolages.

La CNIL vous aide à anticiper et vous protéger de ce danger.

Lire l’article

labels & certifications RGDP Optimex Data

Labels et certifications RGPD après le 25 mai 2018, où en est-on ?

Labels et certifications RGPD après le 25 mai 2018, où en est-on ? 960 641 Optimex Data

Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?

Plus de délivrance de labels, place aux certifications

Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).

 

 

 

 

Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.

Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.

Les organismes de certification et les phases de consultation publiques

Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).

Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.

La certification de Délégué à la protection des données (DPO) et les certifications à venir

La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.

Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.

La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.

Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.

Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.

Newsletter

Souscrivez & suivez notre actualité.

    Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

    Call Now Button