Florent Gastaud
Data Protection Officer

Acteur de la protection des données à caractère personnel et des enjeux de vie privée

Une biographie parfaitement objective, bien entendu !

Rédaction ou et participation à des ouvrages, publications et autres contenus éditoriaux

Citations ou participations à des articles et émissions de presse.

Interventions lors de conférences et salons.

Quelques éléments de langage
Mais au fait, de quoi parle t-on ?

Le Data Protection Officer (DPO) est une fonction instaurée par le Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD). Sa désignation devient obligatoire à compter du 25 mai 2018 pour l’ensemble des organismes et autorités publiques, ainsi que pour de nombreuses entités privées (notamment en cas de traitement de données sensibles et/ou de suivi régulier de données d’individus, à grande échelle).

En pratique, le DPO est chargé de veiller à la bonne conformité des traitements de données à caractère personnel mis en œuvre par une entité. Autrement dit, le Data Protection Officer veille à ce qu’une entreprise ou une administration publique manipule les données personnelles que vous leur confiez de manière conforme à la loi.

Le DPO a différents rôles au sein d’une entité, au titre desquels on peut notamment citer :

  • Conseiller et assister les salariés et les dirigeants sur les actions qu’ils doivent mettre en œuvre afin de respecter en pratique les règlementations en matière de protection des données personnelles ;
  • Contrôler les activités internes afin de vérifier le bon respect de ses préconisations ;
  • Etre l’interlocuteur privilégié des autorités de contrôle (en France, la CNIL : Commission Nationale de l’Informatique et des Libertés).

Pour mener ses missions à bien, le Data Protection Officer doit être indépendant et ne pas disposer de conflit d’intérêt. C’est notamment dans une telle optique que certaines entités font le choix d’avoir recours à des DPO externes.

La notion de données à caractère personnel est définie au sein de l’article 4 du Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD) comme étant « toute information se rapportant à une personne physique identifiée ou identifiable […] qui peut être identifiée, directement ou indirectement […] ».

Autrement dit, une donnée personnelle est une donnée ou un ensemble de données qui permet d’identifier une personne, par tous moyens (considérant 26 du Règlement suscité). Cette identification peut être indirecte et supposer de recouper des données avec d’autres qui seraient détenues par un tiers. Un bon exemple en la matière est celui d’une plaque d’immatriculation de voiture : à sa seule lecture, j’ai peu de chance de savoir à qui appartient le véhicule. Mais, il existe un fichier centralisé, le SIV (Système d’immatriculation des véhicules), qui permet de faire le lien entre un numéro de plaque d’immatriculation et le détenteur du véhicule. C’est ainsi qu’une plaque d’immatriculation est systématiquement une donnée à caractère personnel.

En pratique, il convient donc d’être particulièrement vigilant avec la notion de données à caractère personnel. Cette notion est bien maitrisée par les professionnels de la matière mais plus rarement par le grand public. Sa portée est extrêmement étendue et tend à englober de plus en plus de données dans un monde de plus en plus numérisé. Certaines techniques comme le ciblage favorisent en effet le traitement de données indirectement personnelles, qui restent pourtant bien soumises aux mêmes règles que des données directement nominatives tels que le prénom et le nom.

En live de Twitter
Actualités

⚡ Projet de loi RGPD : les sénateurs vont bien saisir le Conseil constitutionnel https://t.co/AQmCTlRF66

Twitter vient de dévoiler que les mots de passe de ses utilisateurs étaient affichés en clair au sein de certains de ses logs internes. Par mesure de précaution, la firme américaine recommande à ses utilisateurs de modifier leur mot de passe.

Source : https://t.co/5YYsiKBOAI

Oh le Canard qui cite https://t.co/hppYglUoVO
Merci le Canart ! Cc @nextinpact @davlgd

Osons ! Dépoussiérer, démystifier le droit, vulgariser, faire du concret, du factuel, être pédagogue, mais pas démagogue. En décembre dernier, je me lance dans ce projet un peu fou afin d'évoquer des sujets citoyens liés à la protection de la vie privée : https://t.co/464a4SiLia

Donnez moi plus de tweets