Votre entreprise vient d’effectuer un inventaire de ses actifs. En tant que DRH, vous êtes désigné comme délégué à la protection des données (DPO) et propriétaire des données concernant les employés pour toutes les applications du service des ressources humaines. En tant que DPO et propriétaire des données, qu’est-ce qui ne relève pas de vos missions ou responsabilités ?
[A] Catégoriser les données en fonction de la réglementation en vigueur (données personnelles, données de santé,…)
[B] Déléguer la mise en œuvre de mesures de sécurité sur les données au service informatique
[C] Coopérer avec la CNIL en cas de violation de données
[D] Assumer la responsabilité vis-à-vis de la CNIL en cas de violation de données
Catégoriser les données et s’assurer de leur sécurité (y compris en déléguant cette tâche) sont de la responsabilité du propriétaire des données (data owner).
Coopérer avec la CNIL et faire office de point de contact fait partie des missions d’un DPO selon l’article 24, §1 du RGPD.
Par contre, un DPO ne peut pas être tenu personnellement responsable en cas de non-respect des exigences en matière de protection des données. Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant. En effet, c’est le responsable du traitement (art. 24, §1) ou le sous-traitant (art. 28 §3.c) qui est tenu de s’assurer de la sécurité des données. La désignation d’un DPO ne permet en aucun cas de lui transférer cette responsabilité. D’autre part, il n’est pas possible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant. En effet, cela reviendrait à conférer au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement ce qui serait constitutif d’un conflit d’intérêts contraire à l’article 38, §6 du RGPD. Le règlement européen est donc très clair sur ce sujet et stipule également à l’article 42 (sécurité du traitement) : « … le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque … »
La bonne réponse est la proposition [D]
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE