Jacques Badagbon devient provisional DPO
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement impose pour les organisations de se mettre en conformité dans le traitement de données à caractère personnel (DCP).
Très concrètement, le cadre règlementaire impose que lorsqu’une organisation, par exemple une entreprise, traite une DCP, elle doit consigner son intervention dans un registre, définir la base légale de celle-ci et déterminer son impact sur la vie privée. Le traitement est a comprendre dans un sens très large, et comprend tout le cycle depuis la collecte jusqu’à l’effacement.
Lors de l’entrée en vigueur du texte, une grande confusion a entouré le rôle du DPO et le caractère obligatoire de la désignation de celui-ci. En réalité, désigner un DPO n’est obligatoire que pour certaines organisations, parmi lesquelles les autorités et organismes publics ou encore les organisations traitant des données sensibles de santé.
Chez Ventio, Jacques Badagbon a réussi l’examen PECB passé en mai 2021, et a obtenu en septembre 2021 le titre de Provisionnal DPO faisant de lui probablement le plus jeune certifié au monde.
Retour sur le rôle du DPO, le statut de Provisional DPO, et les enjeux en matière de sécurité des données de santé.
Le rôle du DPO se situe au cœur de la conformité avec le RGPD : il exerce une mission de conseil de manière indépendante, contrôle le respect des règles définies dans le RGPD, et constitue le contact privilégié avec l’autorité de contrôle, à savoir la CNIL en France. Le DPO est également en mesure d’auditer les organisations et d’accompagner l’analyse d’impact d’un traitement sur la vie privée.
L’Association Française des correspondants à la protection des données à caractère personnel rassemble les membres de la profession, permet un partage d’expérience et édicte les bonnes pratiques notamment face aux questions que posent les nouvelles technologies du numériques.
- Jacques, pourquoi avoir suivi une formation pour être DPO ?
Chez Ventio, j’occupe le poste de responsable de la sécurité des systèmes d’information (RSSI). Mais parce que le traitement de données sensibles n’implique pas seulement la cybersécurité, domaine sur lequel je suis formé grâce à mon Master Réseau et Télécommunication, j’ai suivi durant 5 jours une formation sur la protection des données à caractère personnel et obtenu, à l’issue de l’examen, le titre de Provisional Data Protection Officer par l’organisme de certification PECB. J’ai également complété cette compétence par une formation sur la tenue des audits ainsi que sur la réalisation des analyses d’impact.
- Que signifie être Provisional DPO ?
La certification “Provisional DPO” est un statut intermédiaire à la certification finale “Certified DPO” à laquelle je pourrai prétendre après deux années d’expérience chez Ventio. J’aurai alors, au fil de mes missions de RSSI et assistant à la mise en conformité des services cloud développés chez Ventio, mis en pratique les mesures incontournables lorsque l’on traite des données sensibles au sens du RGPD (privacy by design, privacy by default, tenue du registre de traitement, analyse d’impact, audit de conformité …). Tout cela sous l’encadrement de mon responsable certifié DPO selon le référentiel de la CNIL.
- Quels sont les enjeux sur la protection des données sensibles de santé ?
Piratage d’hôpitaux, fuites majeures de données sensibles… l’actualité regorge de ces cyberattaques mettant en évidence la vulnérabilité des systèmes d’information en santé. Mi-septembre par exemple, c’est l’Assistance Publique – Hôpitaux de Paris (AP-HP) qui a annoncé avoir été victime d’une cyberattaque avec la perte d’un fichier listant les données privées de 1,4 millions de personnes ayant réalisé un test de dépistage du Covid-19 en 2020.
Face à cette menace, la protection des données sensibles est un enjeu stratégique majeur pour ce type de structure et plus généralement pour tous les organismes qui détiennent et traitent des données sensibles de santé. En interne, disposer des compétences techniques et juridiques n’est pas toujours chose aisée en raison de la spécialisation de ce domaine et des évolutions rapides des technologies de l’information.
En effet, être conforme au RGPD repose sur une démarche d’amélioration continue qui permet de réduire les risques aussi bien sur les personnes que sur les organisations qui peuvent se voir sanctionnées par l’autorité de contrôle en cas de non-respect de leur obligation.
Ventio, spécialisée dans la conception de services Cloud sécurisés et protecteurs de la vie privée peut vous accompagner dans votre mise en conformité et insuffler dans votre organisation les bonnes pratiques de gestion des données sensibles. Discutons ensemble de vos projets !