Admins

Le pad principal : https://pad.april.org/p/rgpd

Un des dispositif au cœur de ce RGPD concerne la désignation d'un ou une Délégué·e à la protection des données (DPD). Voir https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees Ce sont les articles 37 et suivants https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38

En gros, cette personne est chargé de s'assurer de la mise en œuvre de la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par l'organisme.

La nomination d'un⋅e DPD n'est pa obligatoire dans le cas de l'April. C'était déjà la même chose pour la désignation du Correspondant Informatique et Libertés (CIL) auprès de la CNIL, et on l'avait fait car c'est plutôt une bonne chose. Cela montre l'importance que l'on accorde au sujet et cela donne des accès privilégis auprés de la CNIL. Pour l'April, le CIL est Frédéric Couchet, délégué général.

Le rôle de CIL va disparaître le 25 mai. Le CIL a naturellement vocation à devenir DPD. La transformation du CIL en DPD ne sera cependant pas automatique.

À noter que <https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees>

C'est l'article 38 « Fonction du délégué à la protection des données » du règlement ( https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38 ).

Dans le cas de l'April, le rôle du/d'une DPD serait incompatible avec celui de DG (ou de président). Même si dans les faits le DG a toujours agi en mettant la protection des données personnelles prioritaires par rapport à la finalité et les moyens des traitements que l'on peut faire sur les données personnelles.

Dans la loi informatique et libertés, il n'y avait pas de contrainte sur un possible conflit d'intérêts entre rôle de CIL et DG.

Même si la nomination formelle d'un⋅e DPD n'est pas obligatoire il est bien d'avoir une personne en charge de la gouvernance des données personnelles et de s'assurer de la mise en œuvre de la conformité au RGPD. Ce rôle est assuré par Frédéric Couchet, en tant que CIL (rôle qui disparaît le 25 mai 2018).

Perso je veux bien être DPD et à ce titre 1) mener un chantier de documentation sur nos pratiques, 2) mener les réformes qu'on jugera nécessaire.

Par contre j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation : ma patience à lire du code obfusqué se réduit fortement d'années en années. :)

Enfin je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence. Sans diluer la responsabilité, on devrait avoir un groupe de travail interne, une « privacy task force », qui rassemblerait notamment Benj (chef adminsys et dev dtc), Christian (sensible à ce sujet), le/la secrétaire (spammeur en chef), le président, le DG.

échange sur irc :

[05/14/18 14:58]  <madix> PoluX[1]_: concernant ton commentaire sur https://agir.april.org/issues/3119 (nommer un·e DPD) sur « j'aimerais qu'on m'épargne le rôle d'exégète de la réglementation » -> cette connaissance est justement un des critère de base pour nommer un·e DPD :)
[05/14/18 15:00]  <madix> PoluX[1]_: et sur « je pense que ce serait une erreur de réduire à une ou deux personnes cette compétence » -> un autre critère est la capacité d'action qui passe par le fait d'être 1 seule personne :)
[05/14/18 15:01]  <madix> même si bien sûr la mise en œuvre passe par une « privacy task force »
[05/14/18 15:02]  <PoluX[1]_> madix: beh je veux bien porter la responsabilité, mais je veux dire que en pratique c'est mieux de partager ce savoir faire
                  <madix> ou plutôt chaque personne intervenant sur le SI devrait être « privacy first » dans sa démarche :)
[05/14/18 15:03]  <madix> PoluX[1]_: faire ça ne rimerait à rien par rapport au RGPD, c'est confondre la responsabilité et le savoir faire
                  <madix> mais bon, la nomination d'un·e DPD n'est pas obligatoire dans notre situation
                  <PoluX[1]_> concernant l'exégèse, je veux dire que j'aurais besoin d'un brief sur la réglementation applicable à notre cas, je ne me considère pas techniquement compétent pour traduire le gloubi boulga juridique en obligation « april » :)
[05/14/18 15:06]  <madix> PoluX[1]_: c'est pourtant le rôle du DPD, car cette personne est responsable de la compréhension de la réglementation et du suivi de sa bonne application par l'organisme (mais pas de mettre en œuvre elle-même), quitte à s'opposer à des pratiques de l'organisme :)
[05/14/18 15:07]  <madix> à part ça, j'ai mis un courriel sur admins@ pour lister les traitements/service/sites… de l'April impliquant des données personnelles
                  <PoluX[1]_> ha beh je me méprends sur le rôle :) moi je ne suis près à m'investir que dans le « suivi de sa bonne application par l'organisme  »
[05/14/18 15:09]  <madix> PoluX[1]_: je mets à jour la tâche avec notre échange alors :)

https://www.cnil.fr/fr/la-cnil-publie-un-guide-du-delegue-la-protection-des-donnees