Les entreprises qui désignent un DPD ont généralement le choix entre un DPD plus orienté vers la technique et une personne de formation juridique. Chacun de ces groupes cibles a ses propres forces et défis. Dès lors, force est de constater que le DPD juridique a souvent du mal à appliquer lesdites ‘MTO’ ou mesures techniques et organisationnelles. Ces MTO garantissent que le traitement des données personnelles peut être organisé en toute sécurité. Dans cet article, nous expliquons en 3 étapes comment un DPD-juriste qui n’a pas beaucoup de bagage technique peut malgré tout donner des conseils utiles sur les MTO à appliquer.
Il n’est pas étonnant que les DPD aient souvent suivi une formation juridique. En effet, le RGPD prescrit que le DPD doit avoir une connaissance approfondie de la réglementation. En outre, plusieurs tâches, comme la rédaction des contrats de sous-traitance et des accords mutuels, relèvent davantage des compétences d’un juriste. Néanmoins, les DPD plus techniques ont également une tâche importante : l’évaluation des mesures à prendre pour protéger les données à caractère personnel est souvent une question technique. C’est pourquoi il est important que les DPD soient à l’aise dans les deux domaines. Voici nos 3 conseils pour que le DPD-juriste puisse mieux maîtriser les aspects techniques de son travail.
Conseil n° 1 : n’ayez pas peur, apprenez à maîtriser les principes de base. Cela peut vous surprendre, mais les connaissances techniques dont vous avez besoin en tant que DPD pour donner de bons conseils qui soient également judicieux pour le département informatique, sont plutôt limitées. Vous devez bien entendu maîtriser certains concepts de base. Le cryptage et la pseudonymisation sont ainsi deux concepts distincts, et ‘logging’ n’est pas la même chose que ‘log-in’… Mais avec un minimum d’effort, tout le monde peut maîtriser ces principes de base.
Conseil 2 : utilisez une représentation graphique. Il est essentiel de trouver un langage commun afin que l’informaticien et le juriste se comprennent. En pratique, la visualisation des activités de traitement peut aider à mieux comprendre le traitement proprement dit. Un tel « diagramme de flux de données (Data Flow Diagram ou DFD) » peut prendre différentes formes, mais se résume essentiellement à une compréhension étape par étape du processus. En décrivant à chaque étape certaines caractéristiques techniques essentielles et les risques et mesures qui y sont liés, le juriste aide à contrôler si à chaque risque est associée une mesure correspondante.
Conseil n° 3 : ne vous perdez pas dans les détails techniques. La sécurité a une dimension tactique et stratégique importante que l’on perd souvent de vue. Ces mesures organisationnelles dépendent beaucoup d’une bonne gestion et suivent la logique de la gestion d’entreprise générale. Des normes telles que la norme ISO 27001, qui décrit un système de management de la sécurité de l’information, peuvent être un outil utile à cet égard. Le DPD-juriste peut en faire bon usage.