Cette version numérique de l’ouvrage a été réalisée pour le Groupe Larcier. Nous vous remercions de respecter la propriété littéraire et artistique.
Le « photoco-pillage » menace l’avenir du livre.
Pour toute information sur nos fonds et nos nouveautés dans votre domaine de spécialisation, consultez nos sites web via www.larciergroup.com
© ELS Belgium s.a., 2017
Éditions Bruylant
Rue Haute, 139 - Loft 6 - 1000 Bruxelles
Tous droits réservés pour tous pays.
Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent ouvrage, de le stocker dans une banque de données ou de le communiquer au public, sous quelque forme et de quelque manière que ce soit.
ISBN : 9782802760115
|
Collection des Minilex Sous la direction d’Alain Bensoussan et de Jean-François Henrotte La collection rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie d’actualité. La collection s’adresse aussi bien aux étudiants qu’aux professionnels, soit pour un apprentissage exprès, soit pour une mise à jour des connaissances, dans le droit d’une technologie qui fait l’actualité. Chaque sujet est traité de façon pratique et concise dans un format court. |
Déjà parus :
Le droit des robots, Alain Bensoussan et Jérémy Bensoussan, juin 2015.
Failles de sécurité et violation de données personnelles, Virginie Bensoussan-Brulé et Chloé Torres, 2016
Droit des drones. Belgique, France, Luxembourg, Alexandre Cassart, 2017
Droit des objets connectés et télécoms, Frédéric Forster et Alain Bensoussan, 2017
Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données qui entrera en application le 25 mai 2018, introduit l’obligation dans certains cas de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données, pilote de la conformité de tout organisme aux nouvelles exigences du règlement.
Sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque.
Le DPO doit être désigné en fonction de ses qualités professionnelles, en particulier de son expertise en matière de protection des données, ainsi que de sa capacité à accomplir les missions qui lui sont dévolues, notamment celle de contrôler la mise en œuvre et l’application du règlement.
Il s’agit d’une nouvelle fonction au cœur de tout organisme dont la mission principale va être d’assister le responsable du traitement et le sous-traitant dans l’application du Règlement général sur la protection des données (RGPD).
Pour ce faire, il devra recueillir les informations auprès des directions opérationnelles afin de connaître les opérations de traitement et apprécier leur conformité au cadre légal. Il devra également informer, conseiller et émettre des recommandations.
Pour assurer la supervision de la conformité, le DPO devra être compétent à la fois en droit des données, en technique et en organisation.
Réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience de Correspondant à la protection des données.
Il fournit des informations sur les meilleures pratiques à mettre en œuvre à destination des DPO, entreprises, pouvoirs publics, universités, etc., notamment :
– Comment désigner un DPO ?
– Quel doit être son profil, sa formation, ses missions ?
– Quels sont les outils de conformité à mettre en place ?
– Comment organiser au mieux la fonction ?
– Quelle sont les nouvelles règles de gouvernance ?
– Quelles sont les obligations du DPO en matière de sécurité ?
– Quelles sont les responsabilités encourues par le DPO ?
– Sur quelles bases peut-il être sanctionné ?
Virginie Bensoussan-Brulé, Avocate à la Cour d’appel de Paris et Directrice du pôle Contentieux numérique, Lexing Alain Bensoussan Avocats. Elle est coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016) et du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (Larcier, 2016).
Anthony Coquer, Adjoint au Directeur Sûreté et Délégué à la protection des données du Groupe Keolis et président de la commission Responsabilité et protection de l’Association des Data Protection Officers.
Dominique Entraygues, Déléguée à la protection des données et présidente de la commission Conformité et gouvernance de l’Association des Data Protection Officers.
Muriel Grateau, Correspondante informatique et libertés du groupe Groupama SA et vice-présidente de la commission Conformité et gouvernance de l’Association des Data Protection Officers.
Bertrand Lapraye, Correspondant informatique et libertés du groupe Alcatel-Lucent en France et conseiller en Conformité et président de la commission Pratiques professionnelles de l’Association des Data Protection Officers.
Hélène Legras, Correspondante informatique et libertés mutualisée du Groupe AREVA, Déléguée à la protection des données de NEW AREVA veillant à la conformité informatique et libertés et vice-présidente de l’Association des Data Protection Officers et présidente de la commission Ethique de l’association.
Laurence Legris, Directrice des affaires juridiques, de la conformité et de l’éthique pour le Groupe Accenture (France, Belgique, Luxembourg et Ile Maurice). Administratrice de l’Association des Data Protection Officers et présidente de la commission RGPD de l’association.
Amal Marc, Responsable juridique Cybersécurité et DPO région Europe Capgemini et présidente de la commission Cybersécurité de l’Association des Data Protection Officers.
Véronique Tirel, Correspondante informatique et libertés du Groupe JCDecaux, chargée de la conformité à la loi Informatique et libertés et référente de la commission RGPD de l’Association des Data Protection Officers.
Chloé Torres, Avocate à la Cour d’appel de Paris, Directrice du département Informatique et libertés et Correspondante Informatique et libertés Lexing Alain Bensoussan Avocats. Elle est membre de l’Association des Data Protection Officers et coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016) et du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (Larcier, 2016).
d’Alain Bensoussan
Président et fondateur de l’Association des Data Protection Officers
Le nouveau règlement européen 2016/679 sur la protection des données introduit la fonction de Data Protection Officer (DPO), ou délégué à la protection, comme garant de la conformité des traitements au sein de l’entreprise.
Le DPO est un nouveau métier de très haut niveau. Au-delà des nombreuses missions qui lui sont assignées (informer et conseiller le responsable du traitement, sensibiliser et former le personnel, contrôler le respect de la législation au sein de l’entreprise, coopérer avec l’autorité de contrôle, etc.), il doit surtout construire un nouveau modèle de gouvernance des données au sein de l’entreprise.
Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, qui sont autant juridiques, techniques, organisationnelles que stratégiques.
Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».
Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment aux nouvelles exigences de la protection des données dès la conception et par défaut. Il doit en effet pouvoir analyser de façon assez précise les aspects techniques avant de les qualifier juridiquement. Pour cette raison, il doit être rattaché à la direction exécutive de l’organisme.
Il est doté de compétences élargies par rapport au Correspondant Informatique et libertés (Cil) auquel, à terme, il se substituera. C’est un acteur incontournable du traitement des données à caractère personnel sur lequel les entreprises pourront s’appuyer.
Sa désignation sera une étape essentielle de la mise en conformité au règlement européen. Dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises. Pour ces dernières, la désignation d’un DPO est un des meilleurs moyens d’assurer une protection optimale des données.
Cet ouvrage réalisé par des avocats et des Cil de grands groupes membres de l’Association des Data Protection Officers dont j’ai plaisir à signer la préface, s’inscrit pleinement dans cet objectif.
Comprendre le rôle et les missions du DPO, c’est en effet appréhender la nouvelle réglementation européenne de la protection des données et renforcer ainsi la sécurité juridique des entreprises.
Fruit de réflexions, d’échanges et de concertation sur les meilleures pratiques à mettre en œuvre quant aux missions qui leur sont dévolues, cet ouvrage permettra d’accompagner les DPO dans leurs nouvelles fonctions.
|
ADPO : |
Association des Data Protection Officers |
|
AFCDP : |
Association française des correspondants à la protection des données à caractère personnel |
|
AU : |
Autorisation unique |
|
BCR : |
Binding corporate rules |
|
CA : |
Cour d’appel |
|
Cass. com. : |
Cour de cassation, chambre commerciale |
|
Cass. crim. : |
Cour de cassation, chambre criminelle |
|
C. civ. : |
Code civil |
|
C. pén. : |
Code pénal |
|
CE : |
Conseil d’État |
|
CEDH : |
Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales / Cour européenne des droits de l’homme |
|
CEPD : |
Comité européen de la protection des données (ancien G29) / Contrôleur européen de la protection des données |
|
Cil : |
Correspondant Informatique et libertés |
|
CJCE : |
Cour de justice des Communautés européennes (avant le 1-12-2009) |
|
CJUE : |
Cour de justice de l’Union européenne (après le 1-12- 2009) |
|
Cnil : |
Commission nationale de l’informatique et des libertés |
|
COE : |
Conseil de l’Europe (Council of Europe) |
|
Com. CE : |
Commission des Communautés européennes |
|
Com. UE : |
Commission de l’Union européenne |
|
Cons. CE : |
Conseil des Communautés européennes |
|
Cons. const. : |
Conseil constitutionnel |
|
Cons. UE : |
Conseil de l’Union européenne |
|
Décis. : |
Décision |
|
Décr. : |
Décret |
|
Délib. : |
Délibération |
|
Dir. : |
Directive |
|
DPD : |
Délégué à la protection des données |
|
DPO : |
Data protection officer |
|
DPIA : |
Etude d’impact sur la vie privée |
|
EDPB : |
European data protection board |
|
ENT : |
Espace numérique de travail |
|
IAPP : |
Association internationale des professionnels de la vie privée |
|
IFACI : |
Institut français de l’audit et du contrôle interne |
|
JO : |
Journal officiel de la République française |
|
JOCE : |
Journal officiel des Communautés européennes (ancienne dénomination) |
|
JOUE L ou C : |
Journal officiel de l’Union européenne Législation ou Communication |
|
NS : |
Norme simplifiée |
|
Ord. : |
Ordonnance |
|
Règl. : |
Règlement |
|
RGPD : |
Règlement général de protection des données |
|
TGI : |
Tribunal de grande instance |
|
TPICE : |
Tribunal de première instance des Communautés européennes |
|
Trib. UE : |
Tribunal de l’Union européenne |
Avant-propos
Présentation des contributeurs
Préface
Principales abréviations
1. La désignation d’un DPO
2. Le portrait d’un DPO
3. Les missions du DPO
4. La réforme du droit de la protection des données
5. Les outils de conformité à mettre en place
6. L’organisation de la fonction
7. L’Autorité de contrôle et le DPO
8. Les sanctions
9. La sécurité et le DPO
10. La responsabilité
Liste des annexes
Annexe 1 : Bibliographie
Annexe 2 : Lexique
Annexe 3 : Liste des figures et schémas
Annexe 4 : Index
Table des matières