Project

General

Profile

Demande #3119

Demande #3118: Se conformer au RGPD

Nommer un·e Délégué·e à la protection des données ?

Added by Quentin Gibeaux over 1 year ago. Updated 16 days ago.

Status:
Résolu
Priority:
Normale
Category:
-
Target version:
Start date:
05/03/2018
Due date:
% Done:

0%

Difficulté:
2 Facile

Description

Ce rôle n'est pas obligatoire pour une structure telle que l'April, mais il est bon de s'y conformer pour montrer notre volontarisme sur la question.
Voir https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees pour plus d'infos

Frédéric Couchet se propose pour prendre cette casquette, mais reste ouvert à laisser la place à tout volontaire qui se présenterait

History

#1 Updated by Frédéric Couchet over 1 year ago

  • Subject changed from Nommer un délégué à la protection des données to Nommer un· Délégué· à la protection des données ?

#3 Updated by Frédéric Couchet over 1 year ago

Un des dispositif au cœur de ce RGPD concerne la désignation d'un ou une Délégué·e à la protection des données (DPD). Voir https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees Ce sont les articles 37 et suivants https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38

En gros, cette personne est chargé de s'assurer de la mise en œuvre de la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par l'organisme.

La nomination d'un⋅e DPD n'est pa obligatoire dans le cas de l'April. C'était déjà la même chose pour la désignation du Correspondant Informatique et Libertés (CIL) auprès de la CNIL, et on l'avait fait car c'est plutôt une bonne chose. Cela montre l'importance que l'on accorde au sujet et cela donne des accès privilégis auprés de la CNIL. Pour l'April, le CIL est Frédéric Couchet, délégué général.

Le rôle de CIL va disparaître le 25 mai. Le CIL a naturellement vocation à devenir DPD. La transformation du CIL en DPD ne sera cependant pas automatique.

À noter que <https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees>

Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement. […] A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel…

C'est l'article 38 « Fonction du délégué à la protection des données » du règlement ( https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38 ).

Dans le cas de l'April, le rôle du/d'une DPD serait incompatible avec celui de DG (ou de président). Même si dans les faits le DG a toujours agi en mettant la protection des données personnelles prioritaires par rapport à la finalité et les moyens des traitements que l'on peut faire sur les données personnelles.

Dans la loi informatique et libertés, il n'y avait pas de contrainte sur un possible conflit d'intérêts entre rôle de CIL et DG.

Même si la nomination formelle d'un⋅e DPD n'est pas obligatoire il est bien d'avoir une personne en charge de la gouvernance des données personnelles et de s'assurer de la mise en œuvre de la conformité au RGPD. Ce rôle est assuré par Frédéric Couchet, en tant que CIL (rôle qui disparaît le 25 mai 2018).

#4 Updated by François Poulain over 1 year ago

Perso je veux bien être DPD et à ce titre 1) mener un chantier de documentation sur nos pratiques, 2) mener les réformes qu'on jugera nécessaire.

Par contre j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation : ma patience à lire du code obfusqué se réduit fortement d'années en années. :)

Enfin je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence. Sans diluer la responsabilité, on devrait avoir un groupe de travail interne, une « privacy task force », qui rassemblerait notamment Benj (chef adminsys et dev dtc), Christian (sensible à ce sujet), le/la secrétaire (spammeur en chef), le président, le DG.

#5 Updated by Frédéric Couchet over 1 year ago

échange sur irc :

[05/14/18 14:58] <madix> PoluX[1]_: concernant ton commentaire sur https://agir.april.org/issues/3119 (nommer un·e DPD) sur « j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation » -> cette connaissance est justement un des critère de base pour nommer un·e DPD :) [05/14/18 15:00] <madix> PoluX[1]_: et sur « je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence » -> un autre critère est la capacité d'action qui passe par le fait d'être 1 seule personne :) [05/14/18 15:01] <madix> même si bien sûr la mise en œuvre passe par une « privacy task force » [05/14/18 15:02] <PoluX[1]_> madix: beh je veux bien porter la responsabilité, mais je veux dire que en pratique c'est mieux de partager ce savoir faire <madix> ou plutôt chaque personne intervenant sur le SI devrait être « privacy first » dans sa démarche :) [05/14/18 15:03] <madix> PoluX[1]_: faire ça ne rimerait à rien par rapport au RGPD, c'est confondre la responsabilité et le savoir faire <madix> mais bon, la nomination d'un·e DPD n'est pas obligatoire dans notre situation <PoluX[1]_> concernant l'exégèse, je veux dire que j'aurais besoin d'un brief sur la réglementation applicable à notre cas, je ne me considère pas techniquement compétent pour traduire le gloubi boulga juridique en obligation « april » :) [05/14/18 15:06] <madix> PoluX[1]_: c'est pourtant le rôle du DPD, car cette personne est responsable de la compréhension de la réglementation et du suivi de sa bonne application par l'organisme (mais pas de mettre en œuvre elle-même), quitte à s'opposer à des pratiques de l'organisme :) [05/14/18 15:07] <madix> à part ça, j'ai mis un courriel sur admins@ pour lister les traitements/service/sites… de l'April impliquant des données personnelles <PoluX[1]_> ha beh je me méprends sur le rôle :) moi je ne suis près à m'investir que dans le « suivi de sa bonne application par l'organisme » [05/14/18 15:09] <madix> PoluX[1]_: je mets à jour la tâche avec notre échange alors :)

#6 Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Mai 2018 to Juin 2018

#7 Updated by Frédéric Couchet about 1 year ago

  • Subject changed from Nommer un· Délégué· à la protection des données ? to Nommer un·e Délégué·e à la protection des données ?

#8 Updated by Frédéric Couchet about 1 year ago

  • Target version changed from Juin 2018 to Été 2018

#9 Updated by Quentin Gibeaux 12 months ago

  • Target version changed from Été 2018 to Septembre 2018

#10 Updated by Quentin Gibeaux 11 months ago

  • Target version changed from Septembre 2018 to Octobre 2018

#11 Updated by Quentin Gibeaux 10 months ago

  • Target version changed from Octobre 2018 to Backlog

#12 Updated by Frédéric Couchet 16 days ago

  • Status changed from Nouveau to Résolu

Vu le temps qui passe sur le sujet et au vu des échanges, je clos la tâche. Comme, dans notre cas, le rôle du/d'une DPD serait incompatible avec celui de DG (ou de président) je ne peux assumer ce rôle. Ce sera donc un rôle collectif.

Also available in: Atom PDF