alcees EN DIRECT
Restez à l'affût
Le numérique en confiance
Pour une entreprise privée de moins de 250 salariés, se doter d’un DPO n’est pas obligatoire, mais fortement recommandé.
En 2020, la Cnil a recensé 13 585 plaintes en France soit +62,5% d’augmentation depuis la mise en œuvre du RGPD. Les contrôles de la Cnil ne sont pas rares. Ils sont le plus souvent suscités par des plaintes ou des signalements (40% des cas).
Les sanctions de la Cnil ne sont pas rares. Les chiffres montrent que la formation restreinte de la Cnil a prononcé 14 sanctions pour un montant total de 138 489 300 euros au titre de l’exercice 2020. C’est pourquoi depuis mai 2018 chaque entreprise doit être munie de dispositifs de traitement de données conformes à la réglementation. Désigner un DPO en complément est donc recommandé, voici pourquoi et comment procéder.
Pourquoi est-il important de se faire assister par un DPO ?
Premièrement, il est important de connaître les motifs principaux de sanctions au RGPD tels que :
- Sécurité insuffisante des données traitées,
- Durées de conservation des données trop longues,
- Absence d’information et de consentement des personnes,
- Bannières de cookies publicitaires : absence de recueil du consentement des personnes avant le dépôt,
- Notification de violation de données avec dépassement du délai légal,
- Démarchage téléphonique illégal,
- Surveillance illégale (d’employés, de personnes…),
- Refus de suppression de données personnelles
- Collecte disproportionnée de données,
- Informations légales absentes ou mal rédigées.
Deuxièmement, il faut savoir que le manque de vigilance et de précautions sont des facteurs expliquant les causes rappelées ci-dessus.
Aujourd’hui, seules des entreprises qui présentent des caractéristiques spécifiées en introduction de cet article sont dans l’obligation de désigner un DPO et ce depuis 2018. Mais il est tout de même conseillé de se faire accompagner par un DPO pour démarrer ou maintenir son projet de conformité.
Signe encourageant : il ressort du bilan dressé après deux années d’application du RGPD, que les TPE/PME font de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD. Par exemple, en France le nombre de DPO a presque doublé entre 2019 et 2020 !
Troisièmement, il faut surtout comprendre le rôle clé du DPO dans la croissance de ll’entreprise au travers des missions qui lui sont confiées.
Quelles sont les principales missions d’un DPO ?
Dans une entreprise traitant des données à caractère personnel de résidents de l’Union européenne, le Délégué à la protection des données a pour principales missions :
·
Développer et suivre l’application de la politique de confidentialité et de protection des données de l’entreprise. Sensibiliser et conseiller le personnel sur les exigences de la réglementation de protection des données.
· Identifier et piloter l’utilisation des données personnelles dans l’entreprise. Veiller à ce que les principes de confidentialité et de sécurité des données soient respectés en continu. Suivre et gérer le référentiel documentaire de conformité.
· Proposer à l’entreprise la réalisation d’une étude d’impact relative à la protection des données (EIVP/AIPD/PIA) et en assurer l’exécution
·
Assurer le traitement et la réponse à toutes les demandes d’informations et d’exercices des droits des utilisateurs sur les données qui les concernent : droit d’information, droit d’accès, de portabilité, d’opposition à un traitement, droit à l’oubli, droit à la limitation d’un traitement.
·
Assurer l’intégration de la protection des données par défaut et de façon native dans les projets (Privacy by default / Privacy by design)
·
Coordonner les actions à mener en cas de violations de données
·
Etre l’acteur privilégié de l’entreprise du dialogue avec la Cnil et coopérer
L’intégration du DPO s’inscrit donc dans une démarche stratégique qui doit être menée avec la rigueur de permettre à l’organisme d’atteindre un haut degré de conformité à la réglementation en vigueur, et surtout de le maintenir dans la durée.
Comment intégrer la fonction DPO dans l'entreprise ?
Le RGPD mentionne dans ses articles 37 et 38, trois stratégies possibles :
·
Le collaborateur désigné est lié par contrat de travail ou une lettre de mission dans l’entreprise ;
Les plus :
- Connaissance de l’entreprise sur le bout des doigts
- Présence continue à temps plein
Les défis :
- Assurer sa formation et le maintien de ses connaissances
- Organiser son remplacement en cas d’absence
- Risques de conflits d’intérêts (par exemple, en désignant le Directeur informatique ou le Directeur juridique)
- Indépendance dans ses actions
·
Un DPO externe est un partenaire personne morale lié par un contrat de services dans l’entreprise.
Les plus :
- Indépendance
- Economie de charges : coût de la prestation annuelle trois fois inférieur à un salaire annuel
- Flexibilité : que ce soit sur la durée de la mission ou le calendrier des interventions
- Vision globale des traitements de données sur divers secteurs d’activités (y compris le votre)
- Rapidité d’exécution et engagement qualité dans le service
Les défis :
- Temps d’adaptation pour la connaissance de l’existant
·
Egalement sur la base d’un contrat de services dans l’entreprise.
Vous êtes prêts à vous faire assister par un DPO ? Faites-vous accompagner dès maintenant par un DPO externe avec Alcees.
📂 Documents de référence
Partager cette publication à un collègue ou une connaissance
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.