Avis de l’APD Ref 06/2016 3/7:
« Par le passé, la CPVP a développé une jurisprudence en application de laquelle elle opère une distinction nette entre les fonctions de conseiller en sécurité et de préposé à la protection des données tout en ne s’opposant pas à ce qu’une seule personne cumule les deux fonctions pour autant que la loi lui garantisse l’indépendance indispensable à l’accomplissement de cette double tâche (…) Cette jurisprudence ne peut être utilisée aujourd’hui pour conclure que dans tous les cas, le conseiller en sécurité en fonction à l’heure actuelle peut de façon automatique être le délégué à la protection des données de demain. Comme déjà mentionné, c’est désormais à l’aune de la fonction telle que décrite par le RGPD que cet aspect doit être examiné. »
UVCW Ref « ABC du RGPD, Dictionnaire pratique à destination des administrations » Page 65
Dans la loi du 5 septembre 2018 instituant le comité de sécurité de l’information, et réformant les anciens comités sectoriels, le législateur a abrogé cette notion de conseiller en sécurité et l’a remplacée par la notion de DPO afin de faire corroborer les textes belges avec la réglementation européenne.
Le texte précise néanmoins que le « ex-CSI » doit, pour être désigné DPO, répondre aux prescrits de l’article 37 du RGPD.
Mais il n’y a aucun contrôle prévu pour légitimer ou non ce passage de témoin entre le rôle de CSI et de DPO. Qui va effectuer ce contrôle ? Ce sera au responsable de traitement, en âme et conscience, de vérifier si son conseiller en sécurité dispose de toutes les qualités requises pour exercer cette nouvelle fonction.
Pour les petites en moyennes entités, le DPO peut assumer ces fonctions, à condition qu’il soit indépendant et puisse couvrir :
- La protection des actifs de l’entité, les données personnelles, comme les données financières, les secrets d’entreprise, la sécurisation des archives, les accès aux applications, les accès physiques aux bâtiments, etc
- La protection des données à caractère personnel en s’assurant que seules les données personnelles traitées par l’entité le sont bien dans le seul intérêt de la personne concernée.
Nous avons développé une approche structurée, innovante reposant en partie sur les référentiels des nomes ISO 27000. N’hésitez pas à nous contacter…
