Economie

Data officer, un gardien interne de la légalité

Par Faiçal FAQUIHI | Edition N°:5118 Le 03/10/2017 | Partager
Nommer un délégué aux données personnelles s’impose
Test sécurité, registre de traitement... les autres obligations des sous-traitants

Les entreprises ont moins d’un an pour se conformer à la législation européenne qui protège la vie privée (voir ci-dessus). Faire un audit de sécurité pour détecter des failles est un premier pas: système d’information, pratiques internes de traitement des données... L’amélioration du chiffrage des données ou la mise à jour de la charte informatique de l’entreprise peuvent s’imposer... Le coût et le temps d’intervention sont un indicateur d’efficacité pour une politique de données personnelles.

Il y a ensuite «l’analyse d’impact» via l’audit d’un échantillon de fichiers contenant des informations privées: types de données manipulées, nature et auteur du traitement, identités et postes des salariés ayant accès aux fichiers, code de sécurité et de confidentialité, procédure en cas d’incidents... Ces indicateurs sont à vérifier durant le test afin de déterminer le degré de vulnérabilité aux violations de la vie privée. 

Il y a aussi la conception d’une cartographie de traitement ou data mapping. «L’obligation de tenir un registre des traitements ne s’applique pas aux entités comptant moins de 250 employés. A condition que le traitement ne comporte aucun risque pour les droits et libertés des personnes (européennes)», précise l’autorité de contrôle marocaine (CNDP).

Le règlement européen n°2016/679 impose une nouvelle obligation aux sous-traitants étrangers: désigner un délégué aux données personnelles ou data officer. Il est généralement juriste ou responsable des systèmes d’information. Rien n’empêche qu’il ait un autre profil professionnel. L’essentiel est la motivation.

«Le délégué aux données personnelles peut ne pas être un salarié de l’entreprise et reste soumis aux règles anti-conflit d’intérêts. Il doit être rattaché au top management. Au regard de la loi, un PDG est le (principal) responsable de traitement des données. Ce contact direct permet une veille et une réactivité meilleures de l’entreprise», conseille Adil El Moutawakil, data protection officer chez Atos depuis 2015.

L’implication du management immunise mieux la responsabilité civile et pénale de l’entreprise et de son représentant: mise au point concertée d’une politique d’intervention et de prévention, résolution rapide des problèmes, planification coordonnée de la riposte en cas de fuite de données (information des clients, notification des violations à l’autorité de contrôle, alerte aux partenaires commerciaux, communication avec le public...).

Responsabilité et contrat de travail

Le sous-traitant de données personnelles doit être attentif à l’étendue de sa responsabilité juridique. «Le contrat qui le lie à son donneur d’ordre doit définir exactement le périmètre de son intervention (type de données transférées, nature du traitement...)», insiste Adil El Moutawakil, data protection officer chez Atos. Manipuler des données médicales n’a pas la même portée que le traitement de renseignements contenus dans des cartes bancaires.
«Pour le contrat de travail, il n’est pas nécessaire de rédiger un avenant pour les salariés. Au risque d’alourdir le processus de mise en conformité. Mieux vaut procéder au cas par cas. L’intégration d’une clause spécifique s’impose pour les postes stratégiques ou sensibles», conseille UGGC Avocats. Encore faut-il définir ce qu’est une fonction stratégique, une information confidentielle... «Il faut distinguer aussi dans la rédaction d’un contrat de travail entre un national et un expatrié citoyen européen. Ce dernier est protégé par la législation de l’UE sur la vie privée. D’où l’intérêt d’intégrer un avenant à son contrat de travail», relève Nadia Tafrant, directrice adjointe juridique de Phone Group. Est-ce à dire que les données personnelles d’un expatrié européen ont une protection renforcée par rapport à son collègue marocain?

 

 

  • SUIVEZ-NOUS:

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc