L'Offre E-DPO
Offrez-vous les prestations d'un expert
Bénéficiez de la souplesse d'un télé-service
Définition du DPO
-
Qu'est ce qu'un DPO ?
Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est au cœur du cadre juridique pour de nombreux organismes, afin de faciliter la conformité avec les dispositions du RGPD.
-
Quel statut pour le DPO ?
Leur statut est définit par les articles 37 à 39 du règlement.
Ces articles encadrent l'obligation ou non de sa présence, le processus de sa désignation, la publication et communication de ses coordonnées dans le registre des DPO tenu par la CNIL.
Sa joignabilité et sa localisation, ses expertises et compétences nécessaires, sa formation certifiée requise, la définition de ses fonctions et son rôle au sein de l'organisme, son indépendance et l'absence de conflit d'intérêts.
L'obligation de son association à tout processus émanant de l'organisme dès lors que la question des données personnelles est présente, l'obligation de la mise à disposition de ressources en temps et en moyen afin qu'il réalise sa mission et enfin le contenu détaillé de celle-ci qu'il pourra mener seul ou en équipe mais toujours en pleine collaboration de l'organisme.
La désignation du DPO
-
Qui doit obligatoirement désigner un DPO ?
La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics,
les organismes dont les activités de base les amènent à réaliser du suivi régulier et systématique des personnes à grande échelle,
les organismes dont les activités de base les amènent à traiter des données dites sensibles.
-
Pourquoi en désigner un DPO lorsque cela n'est pas obligatoire ?
Un organisme peut désigner un DPO sur une base volontaire afin de bénéficier de tous les avantages que procurent sa désignation car celui-ci aura les mêmes fonctions et missions que si sa désignation avait été obligatoire.
Ainsi, l'organisme pourra communiquer l'aspect normatif, qualitatif et sincère de sa démarche de conformité grâce au suivi rigoureux des référentiels fournis par les autorités, au professionnel du responsable du projet garanti par sa formation "DPO certifié", la prise en compte de tous les processus de l'organisme, montrer la volonté réelle de la direction comme l'implication de tous les collaborateurs, garanti par l'indépendance du DPO, en adéquation avec les exigences du règlement.
Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPD et ne souhaite pas en désigner sur une base volontaire d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel. En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions.
Ainsi, le consultant pourra : vous informer sur le contenu de vos obligations ; sensibiliser les décideurs sur l’impact des règles de la protection ; réaliser l’inventaire des traitements de données de votre organisme ; concevoir des actions de sensibilisation ; piloter la conformité en continu.
-
Le DPO doit disposer de moyens suffisants :
un temps suffisant pour exercer ses missions ; des moyens matériels et humains adéquats ; un accès aux informations utiles ; être associé en amont des projets impliquant des données personnelles ; être facilement joignable par les personnes concernées.
-
Et d'une vraie indépendance :
Ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction ; pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ; ne pas être sanctionné pour l'exercice de ses missions de DPO; ne pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO
Les activités du DPO
-
Maintenir, pour le compte du Responsable du traitement, le registre de traitement des données ainsi que la documentation permettant de prouver la conformité de chacun des traitements de l'organisme
-
S’assurer que les demandes relatives aux données personnelles sont traitées
-
S’assurer de la conformité des relations contractuelles avec les Sous-traitants qui utilisent les données personnelles et veiller à leur conformité à la réglementation
-
Vérifier que les projets impliquant des données personnelles font l'objet d'une revue de « Privacy by Design »
-
Gérer et suivre la conformité de l'organisme avec le code de traitement des données internes pour tous les transferts externes comme inter-services, y compris le remplissage des formulaires de transfert de données utilisés par les différents acteurs
-
Notifier l'organisme de toute violation potentielle de données personnelles, enquêter et analyser toutes les violations de données personnelles avec la collaboration des différents services
-
Notifier les autorités de régulation des violations de données à caractère personnel présentant un risque pour les droits et libertés des personnes physiques et des personnes concernées lorsque requis par le RGPD et la loi nationale
-
Suivre l'avancement du programme de conformité à la Protection des Données de l'organisme
-
Répondre au programme de contrôles internes de l'organisme et prioriser la correction des écarts de conformité avec les normes de protection des données du Groupe
-
Informer et avertir les responsables de traitements et les instances représentatives compétentes au sein de l'organisme de tout événement significatif concernant la protection des données
-
Notifier et collaborer sans délai avec la direction concernant toute injonction formelle de se conformer envoyée par l'Autorité de protection des données ou les enquêtes à mener par l'Autorité
-
Répondre aux questions sur la protection des données aux salariés, donneurs d'ordres, partenaires et fournisseurs en faisant appel si nécessaire à des consultants externes et en en informant la direction
-
Contribuer à la diffusion d'une culture de « protection des données » dans leur périmètre par des campagnes d'information et de sensibilisation
-
Contribuer aux relations concernant la protection des données avec les instances dont l'organisme est membre (associations, syndicats, corporations...)
-
Être le point de contact privilégié de l'autorité de protection des données compétente
-
Établir un rapport annuel sur la protection des données qui est soumis à la direction sur l'état de conformité de la protection des données
-
Sensibiliser les collaborateurs et former les manageurs de l'organisme aux enjeux de la protection des données personnelles en s’appuyant sur des outils dont le DPO se sera pourvu.
Le profil du DPO
-
Le DPO doit détenir des compétences...
Il doit disposer d'une expertise juridique et technique en matière de protection des données personnelles, une bonne connaissance du secteur d’activité, de l'organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données.
-
Une certification
Le DPO doit acquérir la certification Délégué à la protection des données uniquement auprès d'un organisme certifié par la CNIL, à l'issue d'une formation et d'un examen en présentiel, afin de maitriser la règlementation relative à la protection des données personnel et les pratiques des autorités de contrôle en France et en Europe.
-
Mais encore
Il doit faire preuve d'une bonne compréhension des activités de traitement des données effectuées, des informations technologiques et de sécurité des données ainsi que des connaissances en transformation digitale de l'organisme.
De nature curieux, il reste en veille permanente sur tous les sujets règlementaires et techniques.
Extrêmement fiable, il a le sens du détail, de la précision et fait preuve d’un esprit d’analyse certain.
Il dispose enfin d'une grande capacité de communication et de collaboration avec des interlocuteurs de professions variées ; une bonne maitrise de l’oral comme de l’écrit, ainsi que des outils bureautiques ou SaaS est vivement recommandée pour occuper ce poste.
CNIL CERTIFICATION DES COMPETENCES DU DPO
Pourquoi un DPO Partagé
-
En vertu de l’article 37, un seul délégué à la protection des données peut être désigné pour plusieurs autorités publiques ou organismes publics, compte tenu de leur structure organisationnelle et de leur taille.
-
Les mêmes considérations en matière de ressources et de communication s’appliquent. Étant donné que le DPO est chargé d’une série de missions, le responsable du traitement ou le sous-traitant doit s’assurer qu’un seul DPO peut, avec l’aide d’une équipe si nécessaire, s’acquitter efficacement de ces missions en dépit du fait qu’il soit désigné par plusieurs autorités publiques et organismes publics.
-
Il doit être joignable facilement, pour les personnes concernées mais également en interne au sein de l’organisme, compte tenu du fait que l’une des missions du DPO consiste à «informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement»
Dès lors que ces conditions sont remplies, un DPO "partagé" peut être désigné.
Pourquoi l'offre DL Place " DPO partagé"
-
Le contrat passé entre l'organisme et DLPlace ou un DPO indépendant respecte strictement les exigences du règlement
-
Les durées d'intervention sont préalablement définies via les e-services en fonction des besoins ressentis, puis révisables à la hausse comme à la baisse en fonction de l'avancement de la mission selon les besoins exprimés par le DPO et validés par la direction lors des rapports annuels.
-
Le projet est mené conjointement par une personne sur site : le référent RGPD et par le DPO, les demandes se faisant via l'interface de communication idéale de DLRegister, complété par des échanges conversationnels téléphoniques ou en téléréunion.
-
L'outil utilisé "DLTeams - Conformité RGPD"
-
fournit tous les éléments pour suivre le projet de bout en bout : ToDo liste des actions à mener, rapport automatique auprès de la direction, traçabilité totale des échanges et demandes de tous les utilisateurs concernés par le projet, suivi des durées, contenus d'interventions du DPO et de son équipe... voir le "Module RGPD / DPO"
-
permet la saisie facile et rapide de tous les éléments du registre grâce à des modèles de traitements et des formulaires préparés pour vous, puis la publication et diffusion auprès des parties prenantes ;
-
Enfin, il regroupe toutes les données du projet, inventaires, audits, études des risques, mesures et contrôles adoptés, historique des incidents, etc...
-
Un DPO près de vous
AGENCES :
Pau / Bayonne / Bordeaux
Appeler un consultant et recevoir une offre de service personnalisée
Tel: 09 72 15 36 50
Email : contact@dlplace.fr