Florent Gastaud
Data Protection Officer

Acteur de la protection des données à caractère personnel et des enjeux de vie privée

Une biographie parfaitement objective, bien entendu !

Rédaction ou et participation à des ouvrages, publications et autres contenus éditoriaux

Citations ou participations à des articles et émissions de presse.

Interventions lors de conférences et salons.

Quelques éléments de langage
Mais au fait, de quoi parle t-on ?

Le Data Protection Officer (DPO) est une fonction instaurée par le Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD). Sa désignation devient obligatoire à compter du 25 mai 2018 pour l’ensemble des organismes et autorités publiques, ainsi que pour de nombreuses entités privées (notamment en cas de traitement de données sensibles et/ou de suivi régulier de données d’individus, à grande échelle).

En pratique, le DPO est chargé de veiller à la bonne conformité des traitements de données à caractère personnel mis en œuvre par une entité. Autrement dit, le Data Protection Officer veille à ce qu’une entreprise ou une administration publique manipule les données personnelles que vous leur confiez de manière conforme à la loi.

Le DPO a différents rôles au sein d’une entité, au titre desquels on peut notamment citer :

  • Conseiller et assister les salariés et les dirigeants sur les actions qu’ils doivent mettre en œuvre afin de respecter en pratique les règlementations en matière de protection des données personnelles ;
  • Contrôler les activités internes afin de vérifier le bon respect de ses préconisations ;
  • Etre l’interlocuteur privilégié des autorités de contrôle (en France, la CNIL : Commission Nationale de l’Informatique et des Libertés).

Pour mener ses missions à bien, le Data Protection Officer doit être indépendant et ne pas disposer de conflit d’intérêt. C’est notamment dans une telle optique que certaines entités font le choix d’avoir recours à des DPO externes.

La notion de données à caractère personnel est définie au sein de l’article 4 du Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD) comme étant « toute information se rapportant à une personne physique identifiée ou identifiable […] qui peut être identifiée, directement ou indirectement […] ».

Autrement dit, une donnée personnelle est une donnée ou un ensemble de données qui permet d’identifier une personne, par tous moyens (considérant 26 du Règlement suscité). Cette identification peut être indirecte et supposer de recouper des données avec d’autres qui seraient détenues par un tiers. Un bon exemple en la matière est celui d’une plaque d’immatriculation de voiture : à sa seule lecture, j’ai peu de chance de savoir à qui appartient le véhicule. Mais, il existe un fichier centralisé, le SIV (Système d’immatriculation des véhicules), qui permet de faire le lien entre un numéro de plaque d’immatriculation et le détenteur du véhicule. C’est ainsi qu’une plaque d’immatriculation est systématiquement une donnée à caractère personnel.

En pratique, il convient donc d’être particulièrement vigilant avec la notion de données à caractère personnel. Cette notion est bien maitrisée par les professionnels de la matière mais plus rarement par le grand public. Sa portée est extrêmement étendue et tend à englober de plus en plus de données dans un monde de plus en plus numérisé. Certaines techniques comme le ciblage favorisent en effet le traitement de données indirectement personnelles, qui restent pourtant bien soumises aux mêmes règles que des données directement nominatives tels que le prénom et le nom.

En live de Twitter
Actualités

Avec quelques jours de latence, retrouvez mon interview sur le métier de DPO et les actions mises en œuvre au sein d'OVH en matière de protection des données. A retrouver sur ZDNet :
https://t.co/qhAOXahhXY

Des entreprises canadiennes devront s’adapter au nouveau Règlement général sur la protection des données de l'Union européenne, prévient @FlorentGastaud, #DPO d'OVH @lapresseplus https://t.co/ySQblPKqpy @KarimBai #RGPD

Fin 2014, les données de 500 millions de comptes Yahoo fuitaient. Le Canadien Karim Baratov vient d'être condamné à 5 ans de prison pour avoir participé à ce piratage. La protection des données doit également passer par ce type d'action : https://t.co/OEZrEt2Rce

L'Université de Greenwich (Londres) s'est vue infligée une amende de £120,000 par l'ICO ce 21 mai pour la fuite de données (noms, adresses et numéros de téléphone ) 19 500 personnes. En cause, un site développé en 2004 et non actualisé.

Source : https://t.co/W0DsBr9MKf

Donnez moi plus de tweets