Délégué à la protection des données (DPO)
DATA PROTECTION OFFICER (DPO)
ANAXIA CONSEIL vous propose de prendre en charge l'ensemble de la conformité à la réglementation relative à la protection des données à caractère personnel applicable à votre société, association ou collectivité via une mission de Délégué à la Protection des Données (DPO) externe.
Cela peut se faire de manière :
Directe ;
Mutualisée (sociétés d'un même groupe, GIE, organismes professionnels, ...). Notre méthodologie dédiée permet la mutualisation des moyens ... et donc des coûts. Contactez-nous pour en savoir plus sur la mutualisation.
Notre méthodologie éprouvée et en permanente évolution vous garantit une prise en compte à tous les niveaux des principes de la réglementation :
Outils ;
Méthode ;
Formations / sensibilisations ;
Support.
Nous ne nous contentons pas d'être à l'écoute et répondre à des demandes / questions. Nous réalisons des missions de DPO effectives, opérationnelles et complètes avec des déplacements in situ et pas uniquement des visios.
Pour chaque mission de DPO, un consultant est dédié et un autre a un rôle de "backup". Ce dernier a accès à tous les échanges et est le plus à même d'intervenir en cas d'absence du consultant en charge. Nos clients sont ainsi assurés d'être accompagnés en permanence.
En cas de contrôle CNIL, tout l'accompagnement est inclus dans nos missions, il n'y a rien de facturé en complément (sauf les éventuels frais de déplacement). Il est en de même pour l'accompagnement à la gestion des demandes des personnes ou encore des éventuelles violations de données.
Qu'est ce que le DPO ?
Fonction créée par le règlement européen à la protection des données (RGPD) entré en application le 25 mai 2018, le Délégué à la protection des données (DPO) est la personne qui veille au respect du cadre légal concernant la protection des données au sein d'une organisation.
Il est le "chef d'orchestre" de la conformité d'un organisme au RGPD, le pilote.
Mais il ne joue pas de tous les instruments ! Véritable chef de projet, il travaille avec tous les métiers, en collaboration avec la DSI/RSSI pour ce qui est de la sécurité.
Il est le contact privilégié de la CNIL au sein de l'organisme.
Quelles sont les missions du DPO ?
Elles sont définies par l’article 39 du RGPD. En résumé «conseiller et contrôler».
Dans la pratique, cela va souvent plus loin: tenue du registre typiquement, voire réalisation des AIPD ou encore notification des éventuelles violations de données à la CNIL.
Il est important pour un DPO interne de définir l’étendue de ses tâches dans une fiche de poste et/ou lettre de mission (l’AFCDP en propose un modèle). Pour le DPO externe, ce sera le contrat de prestation de service.
Ceci étant, «conseiller et contrôler» reste assez interprétable et il nous semble capital que le DPO (liste non exhaustive):
Participe à l’élaboration des procédures indispensables (gestion des demandes des personnes concernées, gestion des violations, …);
Prenne part au suivi des demandes des personnes concernées;
Prenne part au suivi des violations;
Tienne le registre des activités de traitement;
Valide les mentions d’informations (il les réalisera dans certains organismes);
Valide pour ce qui le concerne les contrats avec les sous-traitants;
Participe aux AIPD, au-delà de dispenser des conseils sur demande (39.1.c).
Quand est-il obligatoire de désigner un DPO ?
C’est le 1 de l’article 37 qui définit les cas dans lesquels la désignation d’un DPO est obligatoire.
C’est assez peu clair et il faudra souvent se référer aux lignes directrices du Comité Européen de la Protection des Données (CEPD) dédiées au DPO, § 2.1.
Quelle est la place du DPO dans l'organisme ?
Le 3 de l'article 38 du RGPD stipule :
Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
Le DPO, dans le cadre de sa mission, est donc libre d'organiser cette dernière comme il le juge le plus efficient.
S'il n'est pas DPO à 100% de son temps de travail, alors il n'a pas de compte à rendre à son supérieur hiérarchique dans le cadre de cette mission de DPO ; ce qui peut parfois être compliqué et nécessite que cette liberté lui soit réellement octroyée.
DPO interne versus externe • Avantages / Inconvénients ?
Il n’y a pas de meilleure solution; il y a celle qui convient à chacun:
Le DPO externe est (censé être) un expert donc pas besoin de formation. Il aura en revanche à connaître ou apprendre les métiers de l’organisme.
Le DPO interne connait bien l’organisme; il devra se former, échanger avec d’autres DPO (dans le cadre par exemple d’une association telle l’AFCDP) et avoir le temps nécessaire à sa mission.
Pourquoi dit-on DPO et pas DPD ?
La désignation en français est Délégué à la Protection des Données, en anglais Data Privacy Officer. L’acronyme devrait donc être DPD et pas DPO.
Cependant, la CNIL elle-même utilise DPO et ce terme a été largement répandu depuis que le RGPD est applicable (mai 2018). Tout le monde dit donc DPO, ce que l’on peut regretter, mais c’est le cas. Nous avons-nous-même utilisé DPD et il nous est arrivé que l’on nous demande ce que signifie DPD!
