Être rappelé
Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.
Un DPO ou délégué à la protection des données assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. 🚀
On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. Exemple : inscription à une newsletter via email ✉
Le RGPD a pour objectif d’encadrer les pratiques pour assurer le respect des données personnelles des citoyens.
Le DPO (ou DPD) est apparu avec le RGPD en 2018. Son rôle, ses compétences, obligations ont été façonnés par le RGPD. 📜
🎯 Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :
4. Le DPO assure la documentation des traitements des données 📊
La documentation est un pilier du RGPD permettant notamment d’être en capacité de respecter les règles et de le prouver en cas de contrôle. Il s’agit du principe d’ « accountability ».🚀
De nombreux éléments doivent donc être intégrés dans la documentation, notamment : le registre des traitements, registre des violations de données, les mentions d’informations, les contrats de sous-traitance…
Le DPO s’assure de la tenue de cette documentation qui a pour objectif principal de piloter la conformité. 🎯
La désignation d’un délégué à la protection des données est obligatoire pour :
📄 La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.
Interne
Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme. 🏢
Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement ou type de traitement. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO.
Le DPO peut être mutualisé entre plusieurs organisme ou dit « Externe ». Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.
💼 Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO. Attention toutefois, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.
Mutualisé
Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités. 📚
Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :
🗒 Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.
Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique.
Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre. ⭐
🔑 Il est clé pour une entreprise que son DPO ait également une grande ouverture au business.
En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !
Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un « blocage » RGPD. Il convient d’être vigilant sur ce point.
🔎 Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.
Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO : l’Afnor, CESI certification, Apave certification, iapp, lsti, LCP, SGS, Bureau Veritas et PECB.
Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externalisé.🚀
🏹 Le DPO n’est pas responsable du non-respect du RGPD au sein de l’organisme qui l’a désigné. C’est le responsable du traitement qui est responsable. Au même titre, le sous-traitant est responsable du respect de ses obligations vis-à-vis du RGPD.
Toutefois, il peut voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales ou en tant que complice s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales. ❌
Le DPO est soumis au secret professionnel ou à une obligation de confidentialité. Cela doit être inscrit dans son contrat ou dans le contrat de prestation de service.
Le choix du DPO doit tenir compte de l’ensemble des points mentionnés précédemment pour qu’il puisse remplir son rôle à 100%.
⭐ Pour la réussite de ses missions, il est important de formaliser les activités du délégué à la protection des données dans une lettre de mission pour un DPO interne ou un contrat de prestation de service dans le cadre d’un DPO externe.
Une communication doit être effectuée au sein de l’organisme pour informer de la nomination (email, intranet, affichage…). Chaque employé/membre doit comprendre le rôle du DPO et être conscient qu’une politique sur le sujet est en place. Il doit également être identifié et joignable. 💻
Le DPO doit être nommé auprès de la CNIL via l’espace dédié « désignation en ligne » de la CNIL si l’organisme se trouve en France sinon auprès de l’organisme de contrôle compétent. La liste des DPO et l’organisme pour lequel il est rattaché est disponible sur le site de la CNIL « Organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) – data.gouv.fr«
Télécharger le guide pratique RGPD pour les délégués à la protection des données :
Guide pratique RGPD – Délégués à la protection des données (cnil.fr)
Le service Dipeeo de mise en conformité RGPD inclut la nomination d’un DPO dédié pour chacun de nos clients, certifié Afnor et nommé auprès de la CNIL, en charge de l’ensemble de la conformité RGPD et point de contact unique sur le sujet