Un DPD souvent exigé par la loi, également pour vous ?

« Si vous consultez n’importe quel site web pour connaître la dernière modification apportée à la déclaration de confidentialité, vous constaterez qu’elle date souvent de début 2018 ; le moment où le GDPR a officiellement remplacé la loi sur la protection des données personnelles. Cela indique à quel point le GDPR est vivant parmi les entreprises », déclare Jeroen Bosch van Rosenthal de DPO Consult. « En particulier lorsqu’il s’agit d’un DPD, les choses ont encore tendance à s’effondrer. »

Depuis l’introduction du GDPR en 2018, les entreprises qui collectent des données personnelles « régulièrement et systématiquement » et qui le font à grande échelle doivent désigner un délégué à la protection des données (DPD), en néerlandais Functionaris Gegevensbescherming (FG). « Toute entreprise qui dispose d’une boutique en ligne ou qui permet à ses clients de se connecter à un site web collecte, entre autres, des données à caractère personnel. Si une entreprise le fait régulièrement et à grande échelle (on considère généralement que les données de 5 000 personnes ou plus sont concernées), la désignation d’un DPD est obligatoire.

Malheureusement, nous constatons que ce n’est pas le cas pour de nombreuses entreprises, c’est-à-dire qu’elles ne respectent pas les lois et les règlements ! Or, les amendes pour non-respect de la LVA peuvent être extrêmement élevées », poursuit Bosch van Rosenthal. L’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. « D’ailleurs, l’application de la loi fait défaut. Il semble donc que la pression exercée sur les entreprises soit faible. Bosch van Rosenthal souligne néanmoins l’importance d’un DPD.

« Si une violation de données se produit et que vous n’avez pas mis de l’ordre dans vos affaires, cela vous cause également un énorme préjudice de réputation, la plupart des assurances ne remboursent pas et des parties peuvent demander des dommages et intérêts simplement parce que l’entreprise n’est pas en conformité avec la loi. Il me semble en outre que dans un tel cas, la direction se retrouve avec le pantalon baissé sur les chevilles. »

Un point de vue indépendant

Mais que fait exactement un DPD ? « Un DPD est une personne indépendante qui jette un regard extérieur sur la manière dont le GDPR est mise en œuvre au sein d’une organisation. Cela concerne aussi bien la sécurité informatique que les processus au sein de l’entreprise et ceux des tiers. Prenons l’exemple de données personnelles placées sur une clé USB et perdues par un employé. Était-il nécessaire de mettre ces données sur une clé USB et de les emporter chez soi ? En tant que DPD, vous effectuez une analyse des risques et fournissez des conseils et des mesures d’amélioration possibles », explique Bosch van Rosenthal. « Mais un DPD ne met pas lui-même les actions en œuvre. C’est le travail de l’entreprise ou de l’organisation. Sinon, le boucher inspecterait sa propre viande.

Et c’est exactement ce que le GDPR est conçu pour empêcher ». Un certain nombre de protections ont été prévues pour permettre au DPD d’effectuer son travail en toute indépendance. « Vous ne pouvez pas simplement licencier un DPD parce qu’il fait son travail et signale des lacunes à la direction, tout comme vous ne pouvez pas faire la même chose avec un membre du comité d’entreprise (CE) ou du comité de participation (CP).

Les grandes organisations emploient généralement un DPD, mais pour les petites entreprises, il est souvent difficile et trop coûteux de libérer entièrement une personne pour un tel poste. C’est pour cette raison que les DPD sont souvent engagés. « Nous fournissons des DPD certifiés qui examinent périodiquement l’évolution de la situation et formulent des recommandations en conséquence. Les conseils sont adressés à la direction, mais nous discutons également avec d’autres employés pour voir où les choses pourraient être améliorées. Mais le point de départ est toujours l’analyse des risques », explique Bosch van Rosenthal.

Trust Guard GDPR rapport

Outre le déploiement d’un DPD, une façon d’analyser les risques liés aux sites web consiste à utiliser l’analyse de sécurité des sites web de Trust Guard. Outre une simple analyse gratuite du site web portant sur l’utilisation et la validité des certificats SSL et d’autres vérifications, Trust Guard propose également des analyses (de vulnérabilité) approfondies, y compris des rapports conformes à de nombreuses normes, dont une version GDPR. Grâce à cette analyse et à ces rapports périodiques, vous pouvez démontrer, en ce qui concerne la sécurité de votre site web, que vous faites tout ce qui est en votre pouvoir pour vous conformer au GDPR.

« Nous avons contacté de nombreuses organisations qui nous ont demandé où en était la conformité au GDPR. Il s’avère que la plupart d’entre elles ont encore du pain sur la planche. Un DPO est la personne idéale pour vous aider dans cette tâche. Pour lancer le processus, en assurer le suivi, mais aussi pour répondre aux exigences fixées par le législateur », conclut Bosch van Rosenthal.


Liens connexes

En collaboration avec DPO Consult (www.dpoconsult.nl)

En savoir plus

Pourquoi effectuer des analyses de sécurité régulières ?

Aujourd'hui, la sécurité des sites web est cruciale pour toute entreprise opérant en ligne. L'un des moyens les plus efficaces d'assurer la sécurité de votre site web est d'effectuer des analyses de sécurité périodiques. Ces analyses offrent de nombreux avantages, qu'il s'agisse de la sécurité proactive du site web ou du renforcement de la confiance des clients. Nous examinons ici les principales raisons pour lesquelles des analyses de sécurité régulières sont essentielles pour votre entreprise.

La responsabilité de la cybersécurité incombe réellement à l’entrepreneur

En tant qu'entrepreneur ou directeur d'une organisation, la responsabilité de la sécurité du site Web vous incombe. À l’heure où les menaces numériques deviennent de plus en plus sophistiquées, assurer la sécurité en ligne est essentiel. Et c’est une responsabilité que vous ne pouvez tout simplement pas ignorer.

Afficher les résultats de l’analyse au niveau basique ou expert

Pour renforcer la confiance lorsque votre client souhaite passer une commande, Trust Guard met désormais à disposition une bannière de paiement. Grâce à cette bannière, les clients peuvent immédiatement voir qu'ils peuvent effectuer un achat en ligne en toute sécurité.