Naturellement, Stordata n’exploite pas de données personnelles aussi sensibles que celles que peut avoir à traiter un CHU par exemple. Stordata n’effectue pas non plus de traitements à grande échelle de données personnelles à des fins de marketing.
Toutefois, nous sommes régulièrement amenés à héberger des données qui peuvent être personnelles. Celles-ci sont systématiquement chiffrées avant de parvenir à nos datacenters et restent, à ce titre, parfaitement inutilisables dans notre contexte. Mais ce n’est pas pour cela qu’un DPO est superflu, bien au contraire. Pour l’ensemble de nos services managés, nos clients peuvent nous confier des données personnelles qui exigeront d’une part la présence d’un DPO et d’autre part, un dialogue entre leur propre délégué et le nôtre.

Dans le cadre de notre certification HDS, notre DPO a fort à faire. Intégré au SMSI (système de management de la sécurité de l’information), il contribue à la rédaction des procédures de sécurité et veille à leur respect. C’est pourquoi, forte volumétrie ou non, nous avons adopté une définition large de la notion de traitement de données personnelles et leur appliquons le même niveau de protection que celui exigé dans le cadre d’une activité dite de base, c’est-à-dire une activité où le traitement de données personnelles est essentiel pour atteindre les objectifs de l’organisme. En d’autres termes, chez Stordata, nous considérons toute action réalisée sur une donnée personnelle, telle qu’une sauvegarde ou du stockage, comme un traitement au sens du RGPD.

Le quotidien de notre DPO

Nous avons fait le choix de nommer notre DPO en interne pour sa connaissance de l’organisation, de ses activités et de ses services. Parce que c’est une mission à la fois technique et juridique, il s’agit d’un profil, somme toute, rare et l’idéal est de disposer d’un tandem. Nous avons opté pour un profil technique avancé, dont les missions garantissent son indépendance, travaillant main dans la main avec le service juridique autant que de besoin.

Concrètement, l’exercice quotidien d’un DPO repose plus volontiers sur des sujets techniques et sur notre capacité à démontrer à nos clients le degré de protection des données personnelles que nous appliquons. Dans le cadre des affaires, les données personnelles réglementées par le RGPD sont celles de nos interlocuteurs extérieurs, principalement leurs noms, numéros de téléphone et adresses mail. Même chose dans le cadre de notre activité de support, concernant toutes les personnes susceptibles de nous contacter.

Il appartient alors au DPO de contrôler la façon dont les équipes traitent les données et de leur fournir toutes les recommandations utiles. D’ailleurs, la fonction ne se limite pas à la sphère informatique. Les mauvaises habitudes sont bien ancrées et il n’est pas rare de trouver au fond des tiroirs des documents imprimés contenant certaines données protégées, même dans les entreprises les plus informatisées. L’inventaire s’impose donc en premier lieu car la détention de données personnelles est l’affaire de tous les niveaux d’une entreprise, que l’on a trop vite fait d’oublier : le service facturation, les services commerciaux, la direction marketing, peuvent tous avoir accès à des données réglementées par le RGPD.

Responsabilités et limites

Le panel de textes de référence, relatifs au DPO et à ses missions et obligations est d’une grande variété, que le délégué doit réunir et tenir à jour. La connaissance du socle législatif et réglementaire est notamment requise dans le cadre de la certification ISO 27 001 et de son renouvellement. Le RGPD est loin d’être l’unique texte applicable en la matière, bien qu’au fil des ans, les procédures mises en œuvre couvrent la plupart des cas. Toutefois, le DPO doit pouvoir dire dans quelles situations sa présence, son contrôle et ses recommandations sont requis. Son champ d’intervention en ce sens s’est considérablement élargi, avec une attention accrue des auditeurs sur ce point, particulièrement dans le cadre de la certification HDS.

En pratique, le DPO doit par exemple disposer d’une liste de personnes nommément désignées à contacter en cas d’incident. Il ne s’agira pas forcément d’un délégué mais des personnes responsables d’un certain type de données et liées au contrat d’hébergement ou de services managés conclu avec Stordata. Cette liste est donc adaptée selon les données concernées et le type de prestation associée. L’existence de fiches de traitement par type de données et les délais (de signalement, de rétention) ainsi que leurs mises à jour régulières sont aussi contrôlées.

Le propriétaire de la donnée reste toutefois l’unique responsable du traitement. Dans le cadre de l’hébergement de données de santé, Stordata, qui n’a jamais connaissance de la nature du contenu confié, appliquera les délais de conservation tels que les services informatiques et juridiques du client les ont fixés. En matière d’effacement de données personnelles également, Stordata ne procède qu’avec l’accord du DPO de l’entreprise cliente. C’est ce dialogue que Stordata veille à maintenir avec l’ensemble de ces clients, et qui garantit la parfaite conformité au règlement mais aussi le maintien de la relation de confiance dans tous les aspects du contrat.

En conclusion, le DPO exerce vraiment des missions particulières puisqu’il est en droit de demander des comptes à tous les services de son entreprise, du sommet à la base. Stordata conçoit son délégué à la protection des données avec des compétences larges, doué de rigueur et du talent de se faire entendre et de faire respecter ses recommandations. La conformité étant non négociable chez Stordata, notre DPO n’a jamais eu à formuler deux fois une même demande.