Un DPO ou Délégué à la Protection des Données qu’il soit interne ou externe assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. 🚀
On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. Exemple : inscription à une newsletter via email ✉
Le RGPD a pour objectif d’encadrer les pratiques pour assurer le respect des données personnelles des citoyens.
Le DPO (ou DPD) est apparu avec le RGPD en 2018. Son rôle, ses compétences, obligations ont été façonnés par le RGPD. 📜
Tous les DPO doivent être déclarés auprès de la CNIL sur ce lien. La liste des DPO nommés auprès de la CNIL est une information publique disponible sur le site de la CNIL .
Une communication interne au sein de votre entreprise (ou autre type d’organisme) est recommandée.
L’ensemble des employés doivent avoir connaissance de sa présence, ses activités et du fait qu’il est joignable pour tout sujet autour des données personnelles.
🎯Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :
– Il facilite les échanges avec la CNIL et peut l’interroger la sur une question. La CNIL refusera de répondre à un responsable de traitement qui n’aura pas consulté auparavant son DPO. Il sera le point de contact principal lors d’un contrôle ou une plainte mais ne pourra pas représenter seul l’organisme.
-Il prend en charge les différentes demandes. Il peut s’agir de demandes de droit d’accès mais également pour tout autre question au sujet de leurs données.
4. Réaliser les documents nécessaires pour la conformité RGPD 📊
-La documentation est un pilier du RGPD permettant notamment d’être en capacité de respecter les règles et de le prouver en cas de contrôle. Il s’agit du principe d’ « accountability ». 🚀
-De nombreux éléments doivent donc être intégrés dans la documentation, notamment : le registre des traitements, registre des violations de données, les mentions d’informations, les contrats de sous-traitance…
-Le DPO rédige l’ensemble des documents juridiques nécessaires pour la conformité RGPD de l’organisme : politiques de confidentialité, politiques cookies, clauses contractuelles liées au RGPD, charte RGPD… 🎯
Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :
.
🗒 Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.
Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique. Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre. ⭐
🔑 Il est clé pour une entreprise que son DPO ait également une grande ouverture au business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !
Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un “blocage” RGPD. Il convient d’être vigilant sur ce point.
🔎 Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.
Il n’y a pas de certification ou de diplôme obligatoire mentionné dans le RGPD pour être DPO. Toutefois, la CNIL peut tenir rigueur de la désignation d’un DPO ne présentant pas les compétences requises à la réalisation des activités du délégué à la protection des données.
On considère qu’une formation juridique dans le domaine IT et/ou protection des données est nécessaire. Une bonne connaissance de l’IT est également requise pour être en capacité d’orchestrer les activités dites techniques notamment pour la sécurité, les cookies, la suppression des données.
Il existe de nombreuses formations RGPD ou formation DPO certifiantes dont certaines sont particulièrement reconnues et gage de confiance, comme la formation DPO certifiante de l’Afnor.
Dans le contexte d’un DPO interne, au-delà des compétences du DPO, il faut également respecter les critères de conflit d’intérêt. Un dirigeant d’entreprise ou un cadre ne peut pas endosser le rôle de DPO car les intérêts business et le respect des données personnelles peuvent entrer en conflit.
De nombreux dirigeants sont pourtant nommés auprès de la CNIL. Cela n’aura pas de valeur en cas de contrôle de la CNIL.
Votre DPO doit avoir une grande ouverture sur les enjeux business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise.
📜 Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO externe : l’Afnor, CESI certification, Apave certification, iapp, lsti, LCP, SGS, Bureau Veritas et PECB.
Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externe.🚀
Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme. 🏢
Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement de données personnelles. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO.
L’organisme doit également être en capacité de prouver que l’employé possède les compétences nécessaires ou trouveras le support nécessaire sur les expertises qui pourraient lui manquer.
Le DPO peut être dit « Externe ». Il endosse le rôle mais reste un acteur externe de l’organisme. Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.
💼 Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO.
Attention, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.
Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités. 📚
Il y a plusieurs avantages à l’externalisation de la fonction de DPO :
Le coût :
Un employé, même à temps partiel sur ce sujet, aura souvent un coût plus important qu’un DPO externe. Cet avantage est très variable étant donné la fourchette très large des tarifs de DPO externes ou de mise en conformité RGPD
La méthode de mise en conformité, les compétences :
Un DPO externe a pour fonction principale d’être DPO. Il est formé, certifié (de plus en plus) et voit de nombreux cas tout au long de l’année. Il collabore également avec d’autres DPO et partage les pratiques de sa société (ou association de DPO pour des freelances).
Il y a également un risque à l’externalisation de la fonction de DPO :
Il y a une plus faible maitrise de l’entreprise, du cabinet d’avocat ou du freelance qui est en prestation. Il y a une très forte hétérogénéité de compétence et fiabilité sur la marché actuellement. Il est important de bien investiguer, prendre des retours de clients existants avant de s’engager auprès d’un DPO externe.
Le DPO externe prend en charge l’ensemble des activités sur DPO. Le rôle du DPO est de s’assurer du respect des règles sur les données personnelles. Cela se traduit principalement par les activités suivantes :
Mise en conformité de l’ensemble des blocs de l’entreprise où des traitements sur les données personnelles sont réalisés :
Actions du DPO au quotidien :
Vérifier la formation du DPO externe qui va travailler avec vous quotidiennement. Ne vous fiez pas uniquement à l’expert ou au dirigeant que vous rencontrerez en entretien.
Vérifier le périmètre d’intervention. Une conformité partielle est inutile, il est important de vérifier que tous les volets de la conformité RGPD sont bien présents.
Exemple :
l’encadrement des sous-traitants est-il inclus ?
Est-ce que le DPO externe se nomme auprès de la CNIL ?
Quels documents juridiques sont livrés ?
Dois-je payer pour chaque nouveau document demandé ?
Posez plusieurs questions RGPD lié à votre contexte pour bien comprendre la manière dont sont traités les sujets.
Demander à contacter l’un des clients de la société ou du cabinet d’avocats. Si l’un des deux sujets s’avère complexe, méfiance !
Il existe plusieurs types d’acteurs qui peuvent prendre le rôle de DPO externe pour votre entreprise, association ou pour un autre type d’acteur :
Cabinets d’avocats :
Ce sont les acteurs traditionnels de la mise en conformité RGPD. La formation des avocats est réputée de bon niveau. Ils réalisent une méthode basée sur un audit de départ. Les tarifs sont élevés.
Cabinets RGPD et Freelances :
Ce sont des juristes ou des personnes ayant réalisés une formation sur le RGPD et le métier de DPO. Ils pratiquent également la méthode traditionnelle. Ces acteurs s’appuient souvent sur des softwares qui permettent principalement d’organiser le travail et de formaliser le registre des traitements. Mais ces softwares ne réalisent pas les documents juridiques, ils proposent au mieux un Template générique. La qualité de cette option « DPO + sotfware » est assez variable. Elle dépend beaucoup du DPO que vous choisissez, de sa formation. Les tarifs sont plus accessibles qu’en cabinet d’avocat RGPD mais il faut souvent payer le DPO et le software.
Dipeeo :
Dipeeo regroupe à la fois le sofware et les DPO certifiés, ex-avocats dans la même société. Le software automatise les parties de mise en conformité à faible valeur ajoutée. Dipeeo permet ainsi d’être en conformité RGPD simplement et d’être accompagné au quotidien par un DPO certifié référent.
Les DPO étant formés et s’appuyant sur une méthode éprouvée et un software, la qualité délivrée est très bonne. Les fonctions d’automatisation permettent un gain de temps très important pour le clients notamment en réduisant fortement le temps d’audit. Les tarifs sont très accessibles grâce à l’automatisation partielle. C’est l’expérience globale de la conformité RGPD qui est transformée.
La désignation d’un délégué à la protection des données est obligatoire pour :
📄 La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.
Grâce à Dipeeo, le RGPD est accessible aux Startups comme nous. Dipeeo propose un service qui inclut tout ce qui concerne la mise en conformité RGPD.
Nous savons que les conséquences vont être très lourdes si jamais il y a un contrôle de la CNIL en cas de non conformité RGPD. Dipeeo nous a donc aidé à structurer et organiser les données personnelles que nous traitons.
Notre Start-up est spécialisée dans le secteur du digital, raison pour laquelle nous prenons au sérieux le RGPD. Sans oublier qu’être en conformité RGPD permet d’avoir plus de confiance vis-à-vis des clients de telle manière qu’ils se sentiront plus en confiance.
Nous sommes très satisfaits de la qualité de service proposé par Dipeeo. Ils sont tout le temps accessibles et nous ont permis de renforcer notre image de marque »
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.