Vous êtes ici : AccueilMots clésRGPD LE DPO

RGPD LE DPO

Quel est le rôle du Délégué à la protection des données (DPO) ?
Il assiste conseille et accompagne l’équipe dirigeante à mettre en place tous les aspects techniques et réglementaires dans le cadre de la RGPD. Interne ou externe il fait partie intégrante de l’entreprise et doit être mis au courant de toutes les questions touchant directement ou indirectement à la question du traitement des données.

Son rôle est celui d’un « Chef d’orchestre » pour la mise en œuvre de la RGPD dans le but de mettre et de garder en conformité en matière de protection des données l’entreprise qui l’a désigné et qu’il a sous sa responsabilité.

Il est principalement chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés,
  • de contrôler le respect du règlement et du droit national en matière de protection des données,
  • de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution,
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Pour accompagner votre entreprise dans la mise en place des nouvelles obligations imposées par le règlement européen, le DPO doit notamment :

  • informer sur le contenu des nouvelles obligations,
  • sensibiliser les décideurs sur l’impact de ces nouvelles règles,
  • réaliser l’inventaire des traitements de données de votre organisme,
  • concevoir des actions de sensibilisation,
  • piloter la conformité en continu.

Un DPO est-il obligatoire dans toutes les entreprises ?
Il l’est dans certaines, mais pas dans la plupart des cas, la CNIL recommande fortement qu’un DPO soit désigné.Disons que sa présence offre un confort de travail qui laisse l’entreprise libre de sa créativité tout en sachant qu’un “garde fou” est présent.

Un contrat avec l’entreprise est-il nécessaire ?
Oui, pour que soit clairement défini les obligations des deux parties.

L’entreprise doit-elle toujours impliquer le DPO dans les questions traitant directement ou indirectement des données et de leurs traitements ?
Oui, c’est impératif, il doit être intégré à l’équipe dirigeante en charge de ce sujet, marketing, drh, dsi ou un intervenant externe….
L’un d’eux pourra être le responsable des traitements en charge de centraliser les évolutions dans ce domaine, la création, la gestion des différents fichiers.
Vous ne devez pas oublier de l’impliquer dès la conception, la naissance d’un projet, d’une évolution touchant aux traitements des données ou encore par exemple dans le cadre de la vérification de la conformité d’un fournisseur, avant de commencer à travailler avec lui, pas après…
Rappelez-vous que vous devez vous remettre en question, en cause à chaque évolution, changement de l’entreprise sur la question directe ou indirecte du traitement des données..

Euro Data Protection peut-il être le responsable externe du traitement ?
Oui, et non. Le responsable au regard du législateur est dans tous les cas le dirigeant de l’entreprise en exercice, mais il peut déléguer cette fonction à son DPO dans le cadre du mandat qui lui est confié. Dans ce cas le DPO intervient pour définir la création d’un fichier ou non, sa mise en place (définition, finalité, caractéristiques…),  et sa gestion dans le registre de l’entreprise.

Le dirigeant de l’entreprise peut-il être le DPO ?
Non, pour éviter les  conflits d’intérêt.

La mise en place, la nomination du DPO doit-elle faire l’objet d’une déclaration ?
Oui, auprès de la CNIL, le DPO devient alors le référent de l’entreprise et le principal interlocuteur de la CNIL pour toutes les questions ou sujets en relation avec le traitement des données. Dans le détail, la désignation intervient après que vous vous soyez entretenu avec lui sur les différents aspects de sa mission, il fera ensuite les démarches de déclaration auprès de la CNIL.

Vous devrez

  • Signer une lettre de mission dans laquelle est défini son rôle de mise en œuvre de la conformité au règlement
  • Lui affecter les moyens humains et financiers nécessaires pour mettre en œuvre ses missions.
  • Signer un contrat avec l’organisme, la société dont il dépend

Quel est le budget à prévoir ?
Ça dépendra du temps que le DPO devra consacrer  à l’entreprise, l’audit initial permettra cette évaluation.

Comment s’organise la relation ?
L’entreprise ou le DPO identifie un besoin potentiel, un premier échange s’établit dans le cadre d’un débat oral pour avoir confirmation de la finalité recherchée; un compte rendu est remis au dirigeant de l’entreprise avec les préconisations du DPO, et ainsi de suite jusqu’à ce qu’une solution convenant aux aspects marketing, technique et réglementaire soit trouvée. Cette entente sera transmise dans un document final au dirigeant qui devra l’accepter en le contresignant. Ce formalisme est nécessaire afin de ne pas faire d’erreurs.

Le dirigeant de l’entreprise est-il tenu de suivre les avis et préconisations de son DPO ?
Il ne l’est pas, mais sans confirmation écrite du suivi des recommandations faites par le DPO , il devra adresser un courrier de mise en garde au dirigeant sur les risques encourus et il peut être amené à dégager sa responsabilité sur le sujet.

Un DPO interne ou externe doit-il être obligatoirement désigné dans une entreprise ?
Non, il ne l’est pas sauf dans les cas ci-dessous :

  • Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
    Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites “sensibles” (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

La CNIL encourage la désignation d’un DPO

Le DPO vérifie-t-il sur leurs aspects techniques l’aspect sécuritaire des logiciels dont il à été amené à vérifier la déclaration de conformité a la RGPD
Non,ce n’est pas son rôle, qu’il s’agisse d’un logiciel installé en local sur les systèmes du client, dans le cloud ou en mode Saas, le DPO se limite aux aspects réglementaires, juridiques des contrats des fournisseurs.

Quel est l’avantage pour l’entreprise cliente dans le fait que Euro Data Protection et Sirpac Informatique soient la même entreprise ?
Si le DPO n’intervient que sur les questions réglementaires touchant au traitement des données, il peut être nécessaire pour l’entreprise de réaliser une mise en œuvre et un suivi technique, informatique des nécessités réglementaires liées aux traitements des données. Pour ces raisons Sirpac Informatique et EDP forment un tandem approprié.
L’entreprise cliente aura toujours le choix de ses fournisseurs mais pourra si elle le souhaite demander un devis à Sirpac Informatique en toute confiance.

Le DPO peut-il intervenir dans une autre langue que le Français ?
Oui, mais sauf nécessité impérieuse comme lorsque notre client exporte, dans ce cas il va falloir qu’un traducteur reconnu par les tribunaux parte du texte en français et le traduise dans la langue du pays où l’entreprise exporte. Dans le cas où l’entreprise utilise un service d’une entreprise hors de France, il est préférable de demander à son fournisseur de lui fournir la documentation légale en français.

Le DPO a-t- il les moyens de vérifier qu’une entreprise sous-traitante fournisseur avec qui contracte notre client et qui se déclare être en conformité met bien en pratique la RGPD ?
Non, une vérification initiale approfondie, la confiance et la surveillance des forums appropriés sont les seuls outils dont dispose le DPO.

La présence d’un DPO dans l’entreprise doit-elle obligatoirement être indiquée sur les documents légaux ?
Non, à l’exception des cas prévus par la loi comme les établissements publics, les banques, les entreprises faisant des traitements sensibles de données… Mais dans la très grande majorité des cas ce n’est pas une obligation. Toutefois hormis un motif argumenté, au titre de la confiance et de la transparence que cela crée, nous conseillons fortement de l’indiquer. S’il n’y a pas de DPO ce sera le directeur de la publication et/ou le chef d’entreprise qui seront interpellés sans que l’un ni l’autre n’ait nécessairement les connaissances ni le temps ou l’envie de s’occuper de ce sujet.

Existe t-il un label, un tampon, un numéro d’enregistrement officiel émanant de la CNIL locale du pays européen dans laquelle l’entreprise se trouve, et qui certifierait que celle-ci respecte la RGPD ?
Non, il existe uniquement à ce jour un registre contenant les entreprises qui ont nommé un DPO. Toute autre indication proviendrait d’une “certification” privée n’ayant aucune valeur légale.

Euro Data Protection peut-elle assurer d’autres prestations en relation avec la RGPD que celle de DPO ?
Oui, notamment pour la gestion des demandes d’accès des personnes, et de l’organisation réglementaire de l’obtention du consentement et de leurs gestion.

dpo@eurodataprotection[.]com  04 82 53 84 51

 

RETOUR AU COCKPIT

 

 

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées,divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez le signaler à votre DPO, et en absence de DPO à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

 

Euro Data Protection  et Sirpac Informatique sont des marques du Groupe Sirpac SAS