Printemps des DPO 2022

La médiathèque

Nos articles

Retrouvez les articles rédigés par nos membres du comités et nos intervenants

Cliquez ici

Nos infographies

(Re)découvrez l'actualité et la situation des DPO en chiffres et en images !

Cliquez ici

Nos vidéos

Toutes les interventions du Printemps des DPO accessibles en vidéo

Cliquez ici

Nos outils

Découvrez les outils à votre disposition

Cliquez ici

Nos articles

 


Interview
Marie-Laure Denis
Présidente de la CNIL

Le Printemps des DPO : Quel est selon vous l’intérêt d’un nouvel événement fédérateur comme le Printemps des DPO dédié aux professionnels de la protection des données personnelles ?

Marie-Laure Denis : Cet événement est important car il rassemble les principales associations de DPO. Il permet ainsi à tous de s’informer, de partager et d’échanger, qu’ils interviennent dans le secteur privé ou dans la sphère publique. C’est aussi l’occasion pour la CNIL de communiquer informellement sur sa vision de la protection des données personnelles et de mettre en avant les nouveaux outils qu’elle développe, comme la nouvelle version du MOOC RGPD.

Le Printemps des DPO : Le programme est dense, quelle(s) thématique ou quel(s) format(s) recommanderiez-vous aux DPO sur cette édition ? 

Marie-Laure Denis : Il est difficile de choisir tant les missions du DPO sont nombreuses et l’obligent à s’intéresser à tout. Les thématiques liées à la gestion quotidienne de la conformité apparaissent néanmoins prioritaires car très opérationnelles, de même que le sujet de la cybersécurité qui constitue un enjeu majeur pour tous les organismes. Sur ce terrain aussi, la CNIL est l’interlocuteur des DPO, comme l’est l’ANSSI pour les opérateurs d’infrastructures critiques. Elle met à disposition des outils pratiques, clarifie le cadre légal et traite les notifications de violation des données. 

Le Printemps des DPO : Après l’événement du 28 juin au Parc des Princes, l’événement se prolongera avec des sessions digitales en octobre et en décembre, quels sujets prospectifs aimeriez-vous y voir traités ? 

Marie-Laure Denis : Ces sessions pourraient aborder des sujets tels que les caméras augmentées, le cloud et les applications mobiles et ainsi faire le pont avec les actions prioritaires de régulation du plan stratégique 2022-2024 de la CNIL. De même, les nouveaux textes en discussion à Bruxelles (DSA, DMA, …) et leurs conséquences sur le métier de DPO constituent un sujet d’importance, sans perdre de vue que la mise en conformité au RGPD, le respect effectif des droits des personnes et la prise en compte du risque cyber, sont les objectifs prioritaires des DPO. 


Contrôle de la CNIL : quelles priorités en 2022 ? 

Par Sylvain Staub
CEO de Data Legal Drive

La CNIL dispose d’un pouvoir d’investigation juridique et technique auprès de tout organisme traitant des données personnelles. Ces investigations, qui peuvent se faire à distance ou sur site, peuvent aboutir à des mises en demeure, rendues publiques ou non, et à des amendes administratives parfois très lourdes. 

Les contrôles sont réalisés par la CNIL à la suite de plaintes, de signalements de violations ou sur la base des thématiques prioritaires que l’autorité de contrôle définit chaque année. Après avoir en 2021 choisi d’axer sa surveillance sur les traitements portant sur la cybersécurité des sites internet, la sécurité des données de santé et l’utilisation des cookies, la CNIL a choisi de prioriser en 2022 la surveillance des traitements relatifs à la prospection commerciale, la surveillance des salariés en télétravail et les solutions cloud. 

  • La prospection commerciale s’inscrit dans la continuité de l’adoption du nouveau référentiel CNIL ayant pour objectif de guider les organismes dans la mise en conformité de leurs activités de gestion commerciale . Des sollicitations récurrentes et persistantes continuent d’envahir le quotidien des personnes concernées et il peut sembler légitime à un très grand nombre que la CNIL s’assure de la bonne conformité de ces pratiques, notamment la réutilisation des données vendues par les courtiers de données. 
  • La pandémie ayant contribué à l’accroissement du télétravail, les outils de surveillance des salariés sont de plus en plus utilisés et des risques existent pour les personnes concernées dont la surveillance doit être proportionnée à l’objectif recherché. 
  • Le thème des solutions Cloud se place dans la lignée de l’action qui a été lancée par 22 autorités européennes de protection des données sur le recours au cloud par le secteur public afin de s’assurer que les solutions utilisées respectent bien la législation sur les données personnelles . Aux problèmes liés au transfert des données que ces outils peuvent engendrer s’ajoute le manque de transparence quant à la sécurité des données. Les offres sont le plus souvent standardisées et les clauses des contrats imposées aux clients sans aucune possibilité de négociation. La question des accès de type SSO (single sign on) proposés par les grandes plateformes non européennes et permettant d’accéder facilement à des services tiers pourrait (ou devrait) également se poser en raison des risques de failles de sécurité et de violation de confidentialité que cela comporte. 

Prioriser certains axes de contrôle a peut-être un effet sur la mise en œuvre du RGPD par les entreprises : certaines se sentent plus concernées et certains traitements peuvent faire l’objet de plus d’attention. Mais il est certain que la CNIL ne limite pas ses contrôles aux thématiques de l’année, et que tous les types d’entreprises, tous les types de traitements et toutes les obligations prévues au RGPD font l’objet de contrôle et parfois de sanction. 

Bien plus, les griefs de la CNIL portant sur les questions de la sécurité et sur les relations avec les sous-traitants peuvent être relevés dans la majorité des sanctions ou des mises en demeure. La question de la sécurité et de la sûreté des données personnelles doit rester centrale dans la gouvernance RGPD des entreprises, dont 19% des PME françaises déclarent d’ailleurs avoir fait l’objet d’une cyberattaque en 2021(selon un baromètre de la Commission Européenne publié en mai 2022). 

Reste à savoir dans quelles proportions la CNIL va continuer à augmenter ses contrôles et le montant de ses sanctions en 2022 : sur les 1241 contrôles réalisés par la CNIL depuis 2018, 325 ont donné lieu à des mises en demeure ou des sanctions, d’un montant cumulé de plus de 400M€ d’amendes.  


Les enjeux de la certification pour les DPO

Par Xavier Leclerc 
Président UDPO 
Vice-Président EFDPO 
CEO The Neoshields

La certification est la procédure, prévue par les articles 42 et 43 du RGPD, permettant à un professionnel de demander à un organisme tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné.

Après les modifications de la loi informatique et Libertés apportées par la loi du 20 juin 2018, la CNIL est aujourd’hui dotée d’une nouvelle compétence en matière de certification, notamment de personnes. C’est sur la base de cette nouvelle compétence que la CNIL a mis en place 2 référentiels portant sur la certification des compétences du DPO. 

Le premier est un référentiel de certification qui précise les conditions préalables à remplir par le candidat à la certification et les 17 compétences et savoir-faire attendus pour être un « Certifié DPO ». 

Le second est un référentiel d’agrément, il est destiné aux organismes souhaitant être habilités par la CNIL à certifier les compétences d’un DPO en se basant sur le référentiel de certification. 

Depuis ce jour, plusieurs organismes ont déjà obtenu l’agrément de la CNIL. Toute personne désirant certifier ses compétences de DPO peut participer aux examens qu’ils proposent. L’examen prend la forme d’une épreuve écrite d’une durée de 2 heures consistant en un questionnaire à choix multiple composé d’au moins 100 questions. 
Le questionnaire est divisé en 3 parties : 
  • Réglementation en matière de protection des données et mesures prises pour la mise en conformité : 50 % des questions ; 
  • Responsabilité : 30 % des questions ;
  • Sécurité : 20 % des questions ; 
Pour obtenir sa certification, le DPO doit obtenir un score global de 75 % avec un minimum de 50 % de bonnes réponses sur chacune des 3 parties. Le certificat délivré porte la mention « Délégué à la protection des données certifiée conformément au référentiel de certification des compétences du DPO de la CNIL ». La certification est valable 3 ans après sa délivrance et peut être renouvelée avant cette période sous certaines conditions. 

Certification et agrément non obligatoire 

Il est important de noter que la certification n’est pas obligatoire pour exercer la fonction de DPO. Malgré tout, le certificat reste un gage de confiance pour les entreprises recourant au service d’un DPO. En effet, il est à noter une recrudescence de ‘faux DPO’ et la CNIL a alerté sur l’ARNAQUE au RGPD : Des sociétés profitent du RGPD pour opérer du démarchage auprès des professionnels (entreprises, administrations, associations) afin de vendre un service d’assistance à la mise en conformité Informatique et Libertés…d’où la nécessité de la certification et de la professionnalisation du métier de DPO pour sa crédibilité. 

Il est important de noter qu’à ce jour, seul Bureau Véritas Certification, en partenariat avec l’UDPO (Union des DPO), propose une certification du réseau de référents / relais RGPD…permettant ainsi à ces fonctions d’être individuellement valorisées mais également à l’organisme de prouver son accountability et au DPO le professionnalisme de ses collaborateurs. 

En ce qui concerne les organismes certificateurs, l’agrément de la CNIL n’est également pas obligatoire pour eux. Ils peuvent très bien certifier des DPO sur la base de leur propre référentiel de certification, comme le démontre l’exemple précédent. 

Certification = Professionnalisation 

La certification présente de nombreux avantages : 
  • Permettre aux entreprises de distinguer le bon grain de l’ivraie 
  • Permettre de légitimer son DPO, son réseau RGPD et sa politique « d’Accountability » 
  • Répondre aux exigences du RGPD : 
  1. La certification - reconnaissance d’un savoir-faire : « Le Délégué est désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées du droit et des pratiques en matière de protection des données… » (Art. 37.5), 
  2. La certification – un contrôle continu et un renouvellement tous les 3 ans : « Le RT et le ST aident le délégué…en lui permettant d’entretenir ses connaissances spécialisées » (Art. 38 du RGPD) 

Étant donné que le CEPD (Comité Européen de la Protection des données /EDPB) veille à une application cohérente du RGPD, nous pouvons espérer qu’il élabore une harmonisation européenne sur la certification des DPO, et l’EFDPO (Fédération Européenne des DPO) milite en ce sens. La formalisation d'une’ norme’ serait un moyen efficace de standardiser les critères, les qualifications et les compétences des Délégués à la protection des données et de leur réseau RGPD au niveau européen, philosophie du Règlement.


Cookies – Qu’est-ce qu’un consentement conforme au sens du RGPD ?

Par Admeet, partenaire du Printemps des DPO 2022

Le consentement est l’un des six fondements possibles prévus dans le RGPD sur base desquels des données à caractère personnel peuvent être traitées. Le RGPD définit les conditions dans lesquelles le consentement doit être recueilli. Quelles sont-elles ? Un consentement valable est actif, spécifique, libre, univoque et informé. Admeet vous en parle dans le détail dans cet article. 

Nos infographies

(Re)découvrez l'actualité et la situation des DPO en chiffres et en images !
93% des DPO ne comprennent pas les projets de règlements en cours.

Nos vidéos

Toutes les interventions du Printemps des DPO accessibles en vidéo

Nos outils

Un service de Alias.dev

Durées de conservation

Vous êtes DPO, vous cherchez combien de temps vous pouvez conserver les données personnelles que vous récoltez ? Quand les passer en archivage légal ? Trouvez la réponse en quelques secondes grâce à notre moteur de recherche de durées de conservation.

Découvrez cet outil

Un service de NOYB

GDPRhub 

GDPRhub est le wiki de noyb. Il est gratuit et ouvert ce qui permet à chacun de trouver, modifier et partager des informations sur le RGPD, notamment les dernières décisions des autorités de protection des données et des tribunaux, ainsi qu'une vue d'ensemble du RGPD, des autorités de protection des données concernées et des profils de pays.

Découvrez cet outil