Le nouveau règlement européen sur la protection des données personnelles (RGPD) est paru au journal officiel de l’Union européenne et entre en application ce 25 mai 2018.

Tout organisme du secteur public, mais également les entreprises privées, associatives ou autres, qui traite des données personnelles "à grande échelle" ont l'obligation de désigner un délégué à la protection des données. Le ministère de l’Intérieur vient de nommer à ce poste M. Fabrice Mattatia.

Petit tour d’horizon pour comprendre les enjeux liés à l’application de ce nouveau règlement sur la protection des données personnelles et présenter le rôle et les missions du délégué à la protection des données du ministère de l’Intérieur.

Le règlement européen sur la protection des données personnelles (RGPD), qu’est-ce que c’est ?

Applicable dès le 25 mai 2018, ce texte de portée européenne, est la nouvelle norme concernant le traitement et la protection des données à caractères personnels. Il couvre l’ensemble des résidents de l’Union européenne et s’applique dans tous les états membres de la même façon.

Son but est d’harmoniser le panorama juridique européen en matière de protection des données personnelles afin de renforcer les droits des personnes et de responsabiliser les acteurs traitant les données personnelles. Le RGPD distingue les traitements basés sur le seul consentement (ex: Facebook, Twitter), et ceux basés sur une obligation légale ou sur une mission de service public, avec des droits et obligations qui diffèrent.

Renforcement du droit des personnes

Les données récoltées doivent faire l’objet d’une information claire et accessible (obligation de transparence) où il est indiqué :

• pourquoi elles sont récoltées ;
• qui peut y avoir accès ;
• la durée de leur conservation ;
• les droits des personnes sur ces données :
  • le droit d’accès,
  • de rectification,
  • d’opposition,
  • d’effacement,
  • de limitation du traitement,
  • et la possibilité de pouvoir exercer ces droits à partir d’un formulaire de contact, un numéro de téléphone, une adresse ou une messagerie dédiée.

Responsabilité des acteurs traitant les données personnelles

Afin de garantir la sécurité et la confidentialité optimales des données, les responsables (ainsi que les sous-traitants) doivent mettre en place des mesures de protection appropriées et conformes, à tout moment, au règlement. Par exemple :

• la mise à jour des antivirus et logiciels ;
• le changement régulier des mots de passe ;
• la mise en place d’une procédure de sauvegarde des données en cas d’incident.

Le RGPD institue la fonction de délégué à la protection des données comme l’instance obligatoire du pilotage à la conformité.

Qu’est ce qu’un délégué à la protection des données (ou DPO – data protection officer) ?

L’article 37 du RGPD, oblige les organismes publics à désigner un délégué à la protection des données (DPD) chargé de veiller à la gestion et à la protection de ces dernières, en toute indépendance et conformément aux obligations énumérées par ce règlement.

Nommé par le secrétaire général du ministère de l’Intérieur, M. Fabrice Mattatia occupe ces fonctions depuis le 25 mai 2018. Ancien conseiller de la secrétaire d'État à l'économie numérique, ingénieur général des mines et docteur en droit, Fabrice Mattatia est un spécialiste de la protection des données personnelles et l'auteur de plusieurs ouvrages sur le sujet.

Intervenant dans dans plusieurs universités et grandes écoles, dont l'université Paris I Panthéon Sorbonne et Télécom Paristech, il a contribué à plusieurs projets numériques d'ampleur nationale, mêlant les problématiques techniques aux questions d'ordre juridique. Spécialiste en droit et des pratiques en matière de protection de données, il a déjà exercé au ministère de l'Intérieur, de 1995 à 1998 dans le domaine de la radio, puis de 2004 à 2008 à propos des titres sécurisés.

Ses missions de délégué à la protection des données couvrent l’ensemble des traitements mis en œuvre par le ministère de l’Intérieur (soit 800 fichiers) à l’exception des fichiers de renseignements.

Les missions du délégué

Placé au cœur des nouvelles obligations des professionnels, il est le référent sur les questions de protection des données et à ce titre :

• il informe et de sensibilise les responsables ainsi que les employés, sur leurs obligations à chaque étape du traitement des fichiers de données personnelles (loyauté du traitement, pertinence des données, durée de conservation, sécurité, etc.) dont ils assurent la gestion ;
• il contrôle le respect du règlement et du droit national en matière de protection des données ;
• il conseille sur la réalisation d’analyse d'impact relative à la protection des données et en vérifie l’exécution ;
• il coopère avec la CNIL qui est l’autorité de contrôle : il est le point de contact de celle-ci