Projet

Général

Profil

Actions

Demande #3119

fermé

Demande #3118: Se conformer au RGPD

Nommer un·e Délégué·e à la protection des données ?

Ajouté par Quentin Gibeaux il y a plus de 6 ans. Mis à jour il y a environ 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
-
Version cible:
Début:
03/05/2018
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Ce rôle n'est pas obligatoire pour une structure telle que l'April, mais il est bon de s'y conformer pour montrer notre volontarisme sur la question.
Voir https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees pour plus d'infos

Frédéric Couchet se propose pour prendre cette casquette, mais reste ouvert à laisser la place à tout volontaire qui se présenterait

Mis à jour par Frédéric Couchet il y a plus de 6 ans

  • Sujet changé de Nommer un délégué à la protection des données à Nommer un· Délégué· à la protection des données ?

Mis à jour par Frédéric Couchet il y a plus de 6 ans

Le pad principal : https://pad.april.org/p/rgpd

Mis à jour par Frédéric Couchet il y a plus de 6 ans

Un des dispositif au cœur de ce RGPD concerne la désignation d'un ou une Délégué·e à la protection des données (DPD). Voir https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees Ce sont les articles 37 et suivants https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38

En gros, cette personne est chargé de s'assurer de la mise en œuvre de la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par l'organisme.

La nomination d'un⋅e DPD n'est pa obligatoire dans le cas de l'April. C'était déjà la même chose pour la désignation du Correspondant Informatique et Libertés (CIL) auprès de la CNIL, et on l'avait fait car c'est plutôt une bonne chose. Cela montre l'importance que l'on accorde au sujet et cela donne des accès privilégis auprés de la CNIL. Pour l'April, le CIL est Frédéric Couchet, délégué général.

Le rôle de CIL va disparaître le 25 mai. Le CIL a naturellement vocation à devenir DPD. La transformation du CIL en DPD ne sera cependant pas automatique.

À noter que <https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees>

Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement. […] A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel…

C'est l'article 38 « Fonction du délégué à la protection des données » du règlement ( https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38 ).

Dans le cas de l'April, le rôle du/d'une DPD serait incompatible avec celui de DG (ou de président). Même si dans les faits le DG a toujours agi en mettant la protection des données personnelles prioritaires par rapport à la finalité et les moyens des traitements que l'on peut faire sur les données personnelles.

Dans la loi informatique et libertés, il n'y avait pas de contrainte sur un possible conflit d'intérêts entre rôle de CIL et DG.

Même si la nomination formelle d'un⋅e DPD n'est pas obligatoire il est bien d'avoir une personne en charge de la gouvernance des données personnelles et de s'assurer de la mise en œuvre de la conformité au RGPD. Ce rôle est assuré par Frédéric Couchet, en tant que CIL (rôle qui disparaît le 25 mai 2018).

Mis à jour par François Poulain il y a plus de 6 ans

Perso je veux bien être DPD et à ce titre 1) mener un chantier de documentation sur nos pratiques, 2) mener les réformes qu'on jugera nécessaire.

Par contre j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation : ma patience à lire du code obfusqué se réduit fortement d'années en années. :)

Enfin je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence. Sans diluer la responsabilité, on devrait avoir un groupe de travail interne, une « privacy task force », qui rassemblerait notamment Benj (chef adminsys et dev dtc), Christian (sensible à ce sujet), le/la secrétaire (spammeur en chef), le président, le DG.

Mis à jour par Frédéric Couchet il y a plus de 6 ans

échange sur irc :

[05/14/18 14:58]  <madix> PoluX[1]_: concernant ton commentaire sur https://agir.april.org/issues/3119 (nommer un·e DPD) sur « j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation » -> cette connaissance est justement un des critère de base pour nommer un·e DPD :)
[05/14/18 15:00]  <madix> PoluX[1]_: et sur « je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence » -> un autre critère est la capacité d'action qui passe par le fait d'être 1 seule personne :)
[05/14/18 15:01]  <madix> même si bien sûr la mise en œuvre passe par une « privacy task force »
[05/14/18 15:02]  <PoluX[1]_> madix: beh je veux bien porter la responsabilité, mais je veux dire que en pratique c'est mieux de partager ce savoir faire
                  <madix> ou plutôt chaque personne intervenant sur le SI devrait être « privacy first » dans sa démarche :)
[05/14/18 15:03]  <madix> PoluX[1]_: faire ça ne rimerait à rien par rapport au RGPD, c'est confondre la responsabilité et le savoir faire
                  <madix> mais bon, la nomination d'un·e DPD n'est pas obligatoire dans notre situation
                  <PoluX[1]_> concernant l'exégèse, je veux dire que j'aurais besoin d'un brief sur la réglementation applicable à notre cas, je ne me considère pas techniquement compétent pour traduire le gloubi boulga juridique en obligation « april » :)
[05/14/18 15:06]  <madix> PoluX[1]_: c'est pourtant le rôle du DPD, car cette personne est responsable de la compréhension de la réglementation et du suivi de sa bonne application par l'organisme (mais pas de mettre en œuvre elle-même), quitte à s'opposer à des pratiques de l'organisme :)
[05/14/18 15:07]  <madix> à part ça, j'ai mis un courriel sur admins@ pour lister les traitements/service/sites… de l'April impliquant des données personnelles
                  <PoluX[1]_> ha beh je me méprends sur le rôle :) moi je ne suis près à m'investir que dans le « suivi de sa bonne application par l'organisme  »
[05/14/18 15:09]  <madix> PoluX[1]_: je mets à jour la tâche avec notre échange alors :)

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

  • Version cible changé de Mai 2018 à Juin 2018

Mis à jour par Frédéric Couchet il y a plus de 6 ans

  • Sujet changé de Nommer un· Délégué· à la protection des données ? à Nommer un·e Délégué·e à la protection des données ?

Mis à jour par Frédéric Couchet il y a plus de 6 ans

  • Version cible changé de Juin 2018 à Été 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Été 2018 à Septembre 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Septembre 2018 à Octobre 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Octobre 2018 à Backlog

Mis à jour par Frédéric Couchet il y a plus de 5 ans

  • Statut changé de Nouveau à Résolu

Vu le temps qui passe sur le sujet et au vu des échanges, je clos la tâche. Comme, dans notre cas, le rôle du/d'une DPD serait incompatible avec celui de DG (ou de président) je ne peux assumer ce rôle. Ce sera donc un rôle collectif.

Mis à jour par Quentin Gibeaux il y a presque 5 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF