Recherche pour :
Jan 16 2022
Le DPO, clé de voûte de votre conformité au RGPD

Le DPO (Data Protect Officer), Délégué à la Protection des Données personnelles (DPD en français), est au centre de votre conformité au Règlement Général sur la Protection des Données personnelles (RGPD).

Par son rôle de conseil, il est au cœur du règlement européen.

Le DPO orchestre la conformité de votre entreprise, association ou administration en matière de protection des données personnelles.

Quelle que soit la taille de votre organisation, le DPO sera votre conseil, votre soutien. La conformité au RGPD est une aventure au long court, de sa mise en place à son maintien.

Rappel : Ce qu’est le RGPD

Le RGPD, Règlement Général sur la Protection des Données, est un règlement Européen qui régit la façon dont toute structure associative, administrative et professionnelle doit mettre tout en oeuvre protéger les données à caractère personnelles qu’elle recueille. Il vient renforcer, en France, la Loi Informatique et Libertés.

C’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui s’occupe de contrôler la conformité à ces textes.

Leur protection n’est pas le seul point du RGPD. En effet, ce règlement précise que l’entreprise doit également :

  • Recueillir le consentement des personnes physiques ou à minima informer les utilisateurs des finalités des traitements pour lesquels leurs données personnelles seront utilisées
  • Créer et tenir à jour un registre des traitements des données
  • Définir et informer sur la durée de conservation des données
  • Etablir diverses procédures, notamment concernant les situations suivantes :
    • Violation de données
    • Perte de données
    • Demande d’accès / modification / suppression de données
    • etc.
  • Etablir et tenir à jour différents registres :
    • De sauvegardes
    • De suppressions / effacements partiels ou totaux
    • Des modifications
    • etc.
  • Se tenir informer des dispositions et outils préconisés par la CNIL
  • Contrôler régulièrement l’application et le respect des procédures et le remplissage des registres
  • Etc.

Le RGPD ? Retrouvez le ici

Comme vous pouvez le deviner, le RGPD ne s’applique pas uniquement à l’acceptation de cookies sur votre site Internet.

Au contraire, même si vous ne possédez pas de site, vous êtes concernés.

Vous n’avez pas d’informatique et faites tout à la main ? Vous l’êtes également. En effet, les données sur papier aussi doivent être sécurisées, conservées dans un temps limité puis supprimées.

Le rôle du DPO au sein de la structure

Le rôle principal du Délégué à la Protection des Données est justement celui de vous assister pour mettre en oeuvre votre conformité au RGPD.

Il doit aussi être conseil auprès de vous. Auprès des différents responsables de traitements de données personnelles. Donner les préconisations nécessaire quant à la mise en place d’outils et autres procédures en matière de sécurité des données. Assister dans les différents possibilités.

Les tâches du PDO

Parmi les tâches principales du Délégué à la Protection des Données, nous trouvons, entre autres :

  • Contrôle du point du situation à la conformité au RGPD (audit)
  • Conseil aux responsables de traitements (et éventuellement aux sous-traitants)
  • Identifier les données dites sensibles leurs traitements
  • Créer une AIPD (Analyse d’Impact) pour les nouveaux traitements ou les traitements à risques
  • S’assurer de la minimisation des données collectées, principalement selon les finalités de leurs traitements
  • Rédaction des procédures internes
  • Préparation du registre des traitements de données
  • Préparation du registre des activités de traitements
  • Contrôle régulier de l’application des procédures
  • Mises à jour des documentations internes (procédures, registres, etc)
  • S’assurer de la sécurité de la portabilité et des transferts de données
  • Coopérer avec l’autorité de contrôle (la CNIL)
  • Être le point de contact des personnes concernées par l’utilisation de leurs données (droit des personnes)
  • Etc.

Aussi, outre ses services d’assistance et de conseil pour la mise en place d’une conformité au RGPD, le DPO est surtout avec vous dans la continuité.

Ne vous souciez pas de l’évolution du RGPD, votre Délégué à la protection des Données se charge d’effectuer une veille. Grace à cela, toutes les tâches organisationnelles seront gérées pour vous.

En conclusion : Mise en conformité, maintien de la conformité et mises à jour de l’ensemble de la documentation, voilà le parcours du Délégué à la Protection des Données au sein de votre entité.

Le profil du DPO

Le Délégué à la Protection des Données est généralement une personne issue du milieu informatique ou juridique. Mais de nombreux autres profils sont également devenus des Délégué à la Protection des Données (administratifs, commerciaux, etc.)

Être Délégué à la Protection des Données est au départ une fonction tenue par un employé interne à une structure. De part l’évolution continue du RGPD et des nouveaux types de traitements mis en place au sein même de ces structures, Délégué à la Protection des Données est, par conséquent, devenu un métier à part entière.

Vous trouverez ici une infographie de la CNIL résumant les profils des Délégué à la Protection des Données.

Pourquoi faire appel à un DPO externe

Faire appel à un Délégué à la Protection des Données externe à la structure est un choix

Il n’est pas question pour le Délégué à la Protection des Données externe d’imposer des choix quant à la mise en place des préconisations de la CNIL en matière de conformité au RGPD, mais bien d’assurer un rôle de conseil.

Ses tâches pour votre organisme n’étant consacrées qu’à votre conformité, et ne faisant pas partie des personnels, il saura être impartial et force de proposition pour améliorer ou mettre en place de nouveaux moyens de sécuriser les données personnelles exploitées pour vos différents traitements.

Aussi, il saura vous mettre en relation avec différents prestataires spécialisés, que ce soit des prestataire en sécurité informatique, des prestataires juridiques, ou encore des prestataire de sécurité physique.

Cependant, même s’il est lui-même fournisseur de systèmes de sécurité numérique, par exemple, il ne pourra en aucun cas vous préconiser ses propres solutions pour vous les vendre. Il doit obligatoirement faire effectuer cette tâche par un autre prestataire, afin d’éviter tout conflit d’intérêt.

De même, un DPO qui se trouve également être avocat ne pourra pas défendre la structure devant un Tribunal en cas de procès relatif aux données personnelles.

Infographie pourquoi DPO externe
Pourquoi faire appel à un DPO externe – Infographie

La position de LC Infoserv’

LC Infoserv’, c’est moi, Caroline LAMBERT.

Voté en 2016 pour une mise en application en mai 2018, j’ai rencontré le RGPD lors de mon ancien poste en entreprise, délaissant quelque peu l’ISO 9001 (satisfaction client) au profit de la protection des données personnelles.

Déjà habituée à la lecture et à l’interprétation des normes et réglementation dans le milieu informatique, ça a tout de suite collé entre nous.

Trêve d’humour, je me suis rapidement adaptée à ce nouveau texte européen. A tel point que j’ai été mandatée par mon entreprise pour assister une structure cliente dans sa propre conformité.

Lorsque je me suis installée à mon compte, mon but était d’assister les entreprises, principalement Chablaisiennes.

Les sites Internet que je proposent sont tous conformes au RGPD pour la partie du règlement les concernant. Donc je me suis dit : Pourquoi pas leur proposer de les assister dans l’ensemble de la mise en conformité ?

Alors, me voilà, DPO à votre disposition dans le Chablais, pour vous assister et vous conseiller dans votre démarche de mise en conformité.

Caroline 0 Commentaires
Référentiel Qualiopi
Juin 16 2021
Qualiopi, c’est parti !

Forte de mes nombreuses années d’expérience en tant que responsable de processus auditée annuellement dans le cadre du renouvellement et du maintien de la certification ISO 9001 lors de mon précédent poste en entreprise, et en tant que personnel intégré à l’enregistrement de la structure en tant qu’organisme de formation dans la base du DataDock, j’ai été sollicitée pour assister une société en forte croissance dans son objectif d’obtention de la certification Qualiopi.

Référentiel Qualiopi

Le référentiel Qualiopi, c’est :

  • Le remplaçant du DataDock d’ici 2022
  • 7 critères à remplir
  • 32 indicateurs à fournir

Dans son objectif de croissance, cette société souhaité dispenser des formations qualifiantes dans son domaine d’activité.

Du DataDock à Qualiopi

Auparavant, il fallait être inscrit au DataDock pour obtenir un n° d’organisme de formation. Pour cela, il fallait remplir un très long questionnaire relatif à la qualité de service, en y ajoutant de nombreux éléments de preuve, le tout réparti en 6 critère et 21 indicateurs. Il s’agissait là d’obtenir un agrément.

Ce n° permettait en effet aux futurs apprenants de bénéficier d’une formation prise en charge, pour tout ou partie, par son OPCA (Organisme Paritaire Collecteur Agréé, en charge de collecter les obligations financières des entreprises en matière de formation professionnelle).

Avec Qualiopi, le nombre de critères et d’indicateur augmente donc, et l’obtention de la certification change également.

Désormais, l’entreprise souhaitant dispenser des formations pouvant être prises en charge par les organismes paritaires devra se faire auditée annuellement, ce qui consiste à :

  • Se faire auditée par un organisme certificateur agréé par le Comité Français d’Accréditation pour obtenir la certification de départ
  • L’année suivante, passer un audit dit “de surveillance”
  • La 3ème année, passer un audit dit “de renouvellement”

Mon travail commence par la création d’un tableau récapitulant l’ensemble des critères, indicateurs, et éléments de preuve à fournir…

Bon, j’ai du pain sur la planche. Une bonne tasse de café, et c’est parti !

Caroline 0 Commentaires