La désignation d’un délégué à la protection des données, aussi dénommé DPD ou DPO, est l’une des dispositions phares de la nouvelle réglementation européenne RGPD. Mais à l’heure où les malwares sont exploités pour voler et détruire les données, quelles sont ses responsabilités face à ces fléaux ?
Destinée à harmoniser la législation en matière de gouvernance, rétention et sécurité des données privées à travers l’Union Européenne, la GDPR – ou RGPD en français, pour Règlement Général sur la Protection des Données – impose aux entreprises davantage de rigueur dans la protection des données au niveau de leur acquisition, de leur transfert, de leur stockage, de leur accès, de leur usage et de leur destruction (droit à l’oubli).
Le RGPD fournit ainsi des règles strictes qui affectent l’intégralité du cycle de vie de la donnée. Il impose la mise en œuvre de mesures appropriées pour protéger les données personnelles. En cas de défaillance, l’entreprise s’expose non seulement à l’obligation de rendre publique la perte des données, mais surtout à des pénalités financières très lourdes.
DPD obligatoire
Parmi les obligations du RGPD, l’une des plus critiques est sans aucun doute la désignation d’un DPO (Data Protection Officer) ou DPD en Français (Délégué à la Protection des Données). Pouvant être interne ou externe à l’entreprise, son rôle est particulièrement défini dans l’article 39 :
- Il doit être informé de tout incident ou risque concernant les données ;
- Il doit informer et éduquer l’entreprise et ses employés aux obligations du RGPD ;
- Il doit former les collaborateurs affectés aux traitements des données ;
- Il doit surveiller sur le long cours la conformité au RGPD en supervisant les activités internes en matière de protection des données, en délivrant des conseils et avis ;
- Il doit régulièrement conduire des audits internes pour dénicher proactivement des problèmes éventuels et y trouver une parade ;
- Il doit documenter toutes les données et toutes les activités de traitements de données au sein de l’entreprise en incluant le pourquoi, le but, de chaque traitement ou collecte ;
- Il sert d’interface sur tous les sujets relatifs aux données, notamment lorsqu’il s’agit d’informer les clients sur la façon dont leurs données sont utilisées, sur leur droit d’accéder aux informations et d’en réclamer leur effacement ;
- Il sert, enfin, de point de contact entre l’entreprise et l’autorité de supervision de la GDPR (la CNIL en France). Il doit alors pouvoir fournir tous les éléments décrivant les mesures mises en œuvre pour protéger les informations personnelles.
En d’autres termes, le DPD a un rôle clé, car son profil doit à la fois être juridique, technique et actif. Selon le RGPD, il doit à tout moment avoir un regard sur les risques associés aux opérations de traitement de la donnée en prenant en compte la nature, l’étendue, le contexte et les objectifs de ces opérations.
Pas de responsabilité directe face aux malwares
Dès lors, on est en droit de se demander quelle responsabilité porte le DPD face aux malwares. Car, ces derniers sont à l’origine de certaines des plus grosses fuites de données de ces dernières années, à commencer par celles de Target, Home Depot, Intercontinental Hotels Group, K-Mart, etc. Ransomwares, Spywares, Trojans, sont des menaces très réelles pour les données et leur confidentialité qui ciblent tous les profils d’entreprises.
Pour Fabrice Lorvo, Avocat associé et Partner chez FTPA, le DPD n’a dans ce cadre aucune responsabilité : « Le DPD n’est pas personnellement responsable du non-respect des exigences en matière de protection des données. C’est la société (responsable du traitement ou le sous-traitant) qui est tenue de s’assurer et de pouvoir démontrer que le traitement est effectué conformément au présent règlement. La conformité de la protection des données incombe à la société (responsable du traitement ou le sous-traitant). La seule responsabilité envisageable du DPO serait une faute ou une négligence, typiquement, s’il a été désigné, mais n’a rien mis en œuvre. »
Dès lors, le DPD n’a pas de responsabilité légale quant aux conséquences des malwares. Il peut en revanche ressentir une responsabilité morale à titre personnel même si en pratique, dans l’entreprise, la responsabilité de lutter contre les malwares et leurs conséquences revient au RSSI. Les tâches principales de ce dernier sont en effet de connaître les mécanismes de détection des menaces, de savoir les analyser et de savoir répondre à une attaque de grande échelle.
Pour autant, le DPD, de par les obligations définies par le RGPD, ne peut rester totalement incompétent et non informé sur les différents malwares, les menaces qu’ils représentent, et les risques qu’ils font porter sur les données personnelles. Son rôle lui impose en effet de vérifier que les problèmes de sécurité soulevés par les malwares en termes de fuites, de pertes ou de perversion des données, ont bien été envisagés et de donner son avis sur les réponses notamment apportées par le RSSI. Dans un tel contexte, ne pas s’intéresser aux risques induits par les malwares pourrait être perçu comme une négligence.
