RGPD & DPO
Qu’est-ce qu’un DPO ? Quand est-il obligatoire ? Quelles sont ses missions ?
Le DPO (Data Protection Officer) :
Définitions
Le DPO ( « Data Protection Officer » en anglais) aussi appelé DPD (pour « Délégué à la protection des données » en français), est la personne chargée de la protection des données à caractère personnel au sein des entreprises et des organisations soumises au RGPD.
La gestion des données personnelles au sein de l’entreprise n’est pas une fonction nouvelle. En effet, avant l’arrivée du RGPD, cette fonction assurée par le CIL : Correspondant Informatique et Liberté., dont la nomination n’était pas obligatoire.
Désormais, le Règlement Général sur la Protection des données (RGPD), entré en application le 25 Mai 2018, impose dans certains cas la nomination d’un DPO aux entreprises et organisations des secteurs privés et publics.
Le DPO a pour mission de piloter la conformité RGPD de l’entreprise. Il est l’interlocuteur privilégié de l’autorité de contrôle au sein de l’entreprise (qui est la CNIL en France par exemple). Par ailleurs, bien que ce poste ne soit pas systématiquement obligatoire, de plus en plus d’entreprises décident de consacrer des ressources à cette fonction au sein de leur organisation afin de d’anticiper les obstacles et risques liés au RGPD. Un collaborateur est bien souvent désigné en interne afin de piloter la conformité et ainsi éviter des sanctions financières conséquentes ou un préjudice d’image.
Quelles sont les :
missions du DPO ?
Le DPO (ou délégué à la protection des données) est un acteur clé de la conformité au RGPD dans l’entreprise. Son rôle est institué par le RGPD, notamment à l’article 39 du Règlement qui liste ses missions de manière non exhaustive. Il peut être interne ou externe à l’entité pour laquelle il exerce. Il reste néanmoins indépendant et n’est pas responsable juridiquement, la responsabilité incombe au responsable du traitement. Il remplace le correspondant informatique et libertés qui existait sous l’empire de la réglementation antèrieure.
Le DPO est au cœur du processus de conformité. Il communique avec les services pour cartographier les traitements (identifier les traitements, leurs acteurs, etc.), pour sensibiliser et pour conseiller au sujet de la gestion des données personnelles. Il agit dans l’intérêt de l’organisation en priorisant les actions à mener en fonction des risques encourus. Le DPO assure le respect du RGPD dans l’organisation et collabore avec l’autorité de contrôle (la CNIL). Le DPO organise les procédures internes avec le responsable du traitement et assure le suivi de la conformité.
DPO :
Obligatoire ou non ?
Pour résumer, la non-conformité au RGPD :
- Expose le cabinet à des sanctions financières et à un préjudice d’image potentiellement à fort impact,
- Expose le dirigeant a des sanctions financières et pénales,
- Positionne le cabinet dans une situation de défiance face à ses clients et partenaires,
- Positionne le dirigeant dans une situation de défiance face aux investisseurs et à ses collaborateurs.
Le RGPD prévoit que la désignation d’un DPO est obligatoire dans l’un des trois cas suivants:
- Lorsque le traitement est effectué par une autorité publique ou un organisme public;
- Lorsque les activités de base de l’organisme consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées;
- Lorsque les activités de base de l’organisme consistent en un traitement à grande échelle de données sensibles.
La désignation d’un DPO n’est donc pas obligatoire pour la plupart des TPE et PME, mais demeure vivement recommandée dans la mesure où il assure le rôle de chef de projet et de référent pour les acteurs du traitement. Le DPO peut occuper ce rôle en parallèle de ses missions principales.
Les enjeux
du DPO
Le DPO a pour enjeu de déployer la conformité RGPD au sein de chaque service de son organisation puis de maintenir cette conformité dans le temps. Le DPO peut rencontrer plusieurs obstacles dans l’exercice de ses missions pour atteindre son objectif :
Le DPO est parfois seul sur ce projet de conformité, néanmoins chaque responsable de service doit être impliqué pour déployer opérationnellement la conformité RGPD. Les interactions avec les services au sein de l’organisation sont bien souvent compliquées ou inefficient.
Le DPO doit assurer la traçabilité de l’ensemble des processus de conformité tel que le registre de traitement, le registre de violations de données, ou le plan d’actions. Néanmoins les outils bureautiques classiques, tel que Excel, montrent très rapidement à leurs limites pour respecter cet enjeu fondamental du règlement.
Le DPO doit mettre en place une gouvernance et une gestion de projet efficace afin de piloter la conformité RGPD de l’organisation dans le temps.
Réalisez votre diagnostic RGPD en 3 min
et découvrez comment le logiciel Mission RGPD peut vous aider
Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD. Nos experts vous recontactent afin d’échanger sur vos résultats et vous présenter comment le logiciel Mission RGPD peut vous aider dans votre mise en conformité.
Le logiciel Mission RGPD facilite les missions du DPO
et accélère la conformité de l'entreptise / organisation.
Grâce à la plateforme collaborative Mission RGPD, le DPO échange rapidement et facilement avec ses collaborateurs. Il peut ainsi mettre en place des plans d’actions au sein de chaque service et d’impliquer les collaborateurs dans ces processus de conformité.
Le + : Le DPO dispose d’une technologie de workflow permettant la validation du traitement par le responsable de traitement, par exemple le Directeur Marketing ou le Directeur RH. Cette technologie permet ainsi de respecter strictement la conformité RGPD et la fonction de DPO, selon l’article 38.1 et 39.1 du règlement.
Article 38.1 Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Article 39.1 a) Les missions du délégué à la protection des données sont les suivantes : informer et conseiller le responsable du traitement
Grâce à la plateforme de conformité Mission RGPD, le DPO assure une traçabilité générale sur l’ensemble des processus de conformité. Le DPO est ainsi capabmle de faire évoluer ces processus tout en conservant l’historique des traitements de données ou des plans d’action. Mission RGPD est en ce sens un gain de conformité immédiat pour l’entreprise ou pour l’organisation concernée.
Le + : Cette technologie de traçabilité permet d'aborder ce sujet sereinement lors
d'un contrôle de l'autorité (CNIL par exemple). Mettre l’article RGPD
Grâce à la plateforme de gouvernance Mission RGPD, le DPO dispose d’un guichet unique de pilotage centralisant l’intégralité de son projet de conformité RGPD. Il dispose de processus de conformité conçus pour répondre à chaque enjeu du RGPD : registre de traitement, registre de violations de données, plan d’actions, traçabilité, droits des personnes, analyse de risque PIA, indicateurs et KPI, sensibilisation et formation des collaborateurs.
Le + : La plateforme Mission RGPD permet un pilotage simple de la conformité RGPD et la centralisation de l'ensemble des éléments requis rapidement et de manière précise, lors d'un contrôle CNIL par exemple. Ceci permet également un pilotage de plusieurs entités à la fois (les filiales d’un groupe par exemple).
