due  par  le  sous-traitant  aux  de  l’origine  de  l’information,  À  la  suite  d’une  violation  de
         seules violations de données. De  etc.).                              données, le DPO peut décider de
         cette  manière,  le  DPO  permet  à                                   procéder  à  un  audit  du  traite-
         son  entité  de  garder  la  maîtrise   La décision de notifier ou non ne   ment  de  données  impacté,  ne
         de la qualification des violations   revient pas au DPO mais bien au   serait-ce  que  pour  vérifier  que
         de données. Le DPO s’assure éga-   responsable  de  traitement,  re-  les  mesures  de  remédiation  ont
         lement,  en  concertation  avec  le   présenté  en  interne  par  une  ou   été mises en oeuvre par la ou les
         RSSI, qu’une procédure et des ou-  plusieurs  fonctions  de  direction   directions  métiers  concernées,
         tils  robustes  de  détection  et  de   au  sein  de  l’organisme.  Cette   avec  l’appui  du  RSSI  et  de  son
         gestion  des  incidents  de  sécurité   décision  de  notifier  intervient   équipe. Il peut s’agir de mesures
         susceptibles  d’être  qualifiés  de   sur  la  base  de  l’analyse  et  des   techniques  mais  également  de
         violations de données sont mis en   recommandations  du  DPO.  La     mesures  organisationnelles  ou
         place, ainsi que des mesures orga-  décision de procéder ou non à la   juridiques.  Si  la  violation  de
         nisationnelles (comitologie de ges-  notification  peut  être  prise  en   données  est  survenue  du  fait
         tion  de  crise,  sensibilisation  des   cellule de crise si le responsable   d’un  sous-traitant,  ce  peut  être
         acteurs  de  la  gestion  de  crise,   du  traitement  a  estimé  néces-  l’occasion  pour  le  DPO  de  dé-
         rôle et responsabilité de chacun,   saire  d’en  constituer  une.  Les   clencher un audit, dans le cadre
         etc.).                             critères  selon  lesquels  une  cel-  de sa mission de conseil. Le DPO
                                            lule de crise est activée peuvent   pourra  enfin  s’interroger  sur  le
         En  cas  de  violation  de  données,   être utilement listés dans la pro-
         en  fonction  de  l’organisation   cédure  de  gestion  des  violations   besoin  de  réalisation  d’une  ana-
         mise en place, le DPO procède à    de données. Cela est par exemple   lyse  d’impact  relative  à  la  pro-
         la  qualification  de  l’incident  en   le  cas  lorsque  la  violation  con-  tection  des  données  éventuelle-
         violation de données ou fait par-  cerne  plusieurs  entités  ou  des   ment  révélé  par  la  violation  de
         tie de l’instance qui procèdera à   catégories  particulières  de  don-  données compte tenu des risques
         la  qualification.  Dans  certaines   nées.  Par  ailleurs,  le  DPO  doit   auxquels  les  personnes  concer-
         hypothèses,  le  DPO  peut  être   participer  à  la  cellule  de  crise.   nées auront  été  exposées  ou  sur
         informé  de  la  qualification  rete-  En revanche, il ne doit pas partici-  la mise à jour de celle qui avait
         nue, charge à lui, le cas échéant,   per à la prise de décision, comme   été  réalisée  afin  de  prendre  en
         de  la  discuter  et  de  donner  son   l’a rappelé l’Autorité belge de pro-  compte les mesures de remédia-
         avis. Par ailleurs, le DPO s’assure   tection  des  données  en  affirmant   tion.
         que  le  délai  de  notification  est   que le DPO a un rôle de consulta-
         respecté  et,  s’il  ne  peut  pas   tion  à  l’égard  du  responsable  du   Conclusion
         l’être  en  raison  des  investiga-  traitement mais ne peut pas être «
         tions à mener, il veille à ce que   coresponsable  de  la  décision  fi-  Face  à  l’inflation  des  menaces
         les motifs du retard soient préci-  nale conformément à l’article 38-1   que  nous  avons  pu  connaître
         sément  décrits.  Dans  tous  les   du RGPD combiné à l’article 39-1,   notamment  dans  le  contexte  de
         cas,  il  doit,  en  application  du   a) du RGPD  ».                 crise  sanitaire,  la  cybersécurité
                                                       13
         principe  d’accountability,  docu-                                    des acteurs publics et privés de-
         menter la gestion de la violation  Une  fois  cette  décision  prise,  le  vient une priorité nationale. Ain-
         de  données  ou  veiller  à  ce  DPO procède, le cas échéant, à la  si,  la  Direction  générale  du  Tré-
         qu’elle le soit s’il ne réalise pas  notification  sur  le  site  de  la  sor vient-elle de lancer une con-
         lui-même  cette  action.  Le  DPO  CNIL. Il devrait en outre être im- certation  au  niveau  national  sur
         pourra  s’appuyer  sur  cette  docu- pliqué  dans  les  démarches  de  l’assurance  du  risque  cyber .
                                                                                                              14
         mentation  pour  diffuser  un  éven- communication  aux  personnes  Dans ce contexte, le rôle du DPO
         tuel  retour  d’expérience  et  ainsi  concernées  si  elles  s’avèrent  re- est  primordial  et  essentiel  au
         rappeler  aux  collaborateurs  les  quises en raison des risques gé- sein de l’entreprise. La CNIL sou-
         règles  applicables  au  sein  de  nérés  par  la  violation  de  don- ligne  encore  cette  année,  dans
         l’organisme  (procédure,  saisine  nées. À ce titre, il est recomman- son  plan  de  contrôle  de  2021,  la
         du DPO, mesures de confidentia- dé que le DPO, voire le RSSI, soit  prédominance  des  enjeux  de  cy-
         lité  mises  en  oeuvre,  traçabilité  préparé à ce type d’exercice.   bersécurité, deux des trois thèmes





         36

                                                        °
                                                       N 34– Juillet 2021