« Si vous consultez n’importe quel site web pour connaître la dernière modification apportée à la déclaration de confidentialité, vous constaterez qu’elle date souvent de début 2018 ; le moment où le GDPR a officiellement remplacé la loi sur la protection des données personnelles. Cela indique à quel point le GDPR est vivant parmi les entreprises », déclare Jeroen Bosch van Rosenthal de DPO Consult. « En particulier lorsqu’il s’agit d’un DPD, les choses ont encore tendance à s’effondrer. »
Depuis l’introduction du GDPR en 2018, les entreprises qui collectent des données personnelles « régulièrement et systématiquement » et qui le font à grande échelle doivent désigner un délégué à la protection des données (DPD), en néerlandais Functionaris Gegevensbescherming (FG). « Toute entreprise qui dispose d’une boutique en ligne ou qui permet à ses clients de se connecter à un site web collecte, entre autres, des données à caractère personnel. Si une entreprise le fait régulièrement et à grande échelle (on considère généralement que les données de 5 000 personnes ou plus sont concernées), la désignation d’un DPD est obligatoire.
Malheureusement, nous constatons que ce n’est pas le cas pour de nombreuses entreprises, c’est-à-dire qu’elles ne respectent pas les lois et les règlements ! Or, les amendes pour non-respect de la LVA peuvent être extrêmement élevées », poursuit Bosch van Rosenthal. L’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. « D’ailleurs, l’application de la loi fait défaut. Il semble donc que la pression exercée sur les entreprises soit faible. Bosch van Rosenthal souligne néanmoins l’importance d’un DPD.
« Si une violation de données se produit et que vous n’avez pas mis de l’ordre dans vos affaires, cela vous cause également un énorme préjudice de réputation, la plupart des assurances ne remboursent pas et des parties peuvent demander des dommages et intérêts simplement parce que l’entreprise n’est pas en conformité avec la loi. Il me semble en outre que dans un tel cas, la direction se retrouve avec le pantalon baissé sur les chevilles. »
Un point de vue indépendant
Mais que fait exactement un DPD ? « Un DPD est une personne indépendante qui jette un regard extérieur sur la manière dont le GDPR est mise en œuvre au sein d’une organisation. Cela concerne aussi bien la sécurité informatique que les processus au sein de l’entreprise et ceux des tiers. Prenons l’exemple de données personnelles placées sur une clé USB et perdues par un employé. Était-il nécessaire de mettre ces données sur une clé USB et de les emporter chez soi ? En tant que DPD, vous effectuez une analyse des risques et fournissez des conseils et des mesures d’amélioration possibles », explique Bosch van Rosenthal. « Mais un DPD ne met pas lui-même les actions en œuvre. C’est le travail de l’entreprise ou de l’organisation. Sinon, le boucher inspecterait sa propre viande.
Et c’est exactement ce que le GDPR est conçu pour empêcher ». Un certain nombre de protections ont été prévues pour permettre au DPD d’effectuer son travail en toute indépendance. « Vous ne pouvez pas simplement licencier un DPD parce qu’il fait son travail et signale des lacunes à la direction, tout comme vous ne pouvez pas faire la même chose avec un membre du comité d’entreprise (CE) ou du comité de participation (CP).
Les grandes organisations emploient généralement un DPD, mais pour les petites entreprises, il est souvent difficile et trop coûteux de libérer entièrement une personne pour un tel poste. C’est pour cette raison que les DPD sont souvent engagés. « Nous fournissons des DPD certifiés qui examinent périodiquement l’évolution de la situation et formulent des recommandations en conséquence. Les conseils sont adressés à la direction, mais nous discutons également avec d’autres employés pour voir où les choses pourraient être améliorées. Mais le point de départ est toujours l’analyse des risques », explique Bosch van Rosenthal.
Trust Guard GDPR rapport
Outre le déploiement d’un DPD, une façon d’analyser les risques liés aux sites web consiste à utiliser l’analyse de sécurité des sites web de Trust Guard. Outre une simple analyse gratuite du site web portant sur l’utilisation et la validité des certificats SSL et d’autres vérifications, Trust Guard propose également des analyses (de vulnérabilité) approfondies, y compris des rapports conformes à de nombreuses normes, dont une version GDPR. Grâce à cette analyse et à ces rapports périodiques, vous pouvez démontrer, en ce qui concerne la sécurité de votre site web, que vous faites tout ce qui est en votre pouvoir pour vous conformer au GDPR.
« Nous avons contacté de nombreuses organisations qui nous ont demandé où en était la conformité au GDPR. Il s’avère que la plupart d’entre elles ont encore du pain sur la planche. Un DPO est la personne idéale pour vous aider dans cette tâche. Pour lancer le processus, en assurer le suivi, mais aussi pour répondre aux exigences fixées par le législateur », conclut Bosch van Rosenthal.
Liens connexes