Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, le traitement des informations personnelles des ressortissants de l’UE est soumis à des règles très strictes. Les textes de ce règlement ont pour but de renforcer la protection des droits des personnes concernées. Pour s’assurer de la conformité avec le RGPD, les entreprises concernées doivent nommer un Délégué à la Protection des Données (DPO).
Quelles sont les conséquences du RGPD sur les entreprises ?
Quelles que soient les opérations de traitement de données à caractère personnel réalisées par les entreprises, la confidentialité et la sécurité de ces données doivent primer. Tout d’abord, il convient distinguer les types de données traitées et de les cartographier. A chaque étape, une référence au RGPD est utile pour garantir la conformité.
Le règlement s’applique uniquement aux PME qui comptent plus de 250 salariés. Toutefois, si l’entreprise est souvent amenée à réaliser des traitements de données personnelles, elle doit respecter les dispositions du règlement européen.
Le RGPD exige que les personnes physiques donnent leur consentement pour le traitement de leurs données. D’ailleurs, en cas de violation des données, l’autorité de contrôle (CNIL) doit en être avisée dans les plus brefs délais, afin de garantir la protection des données personnelles à tout moment. Pour assurer un haut niveau de sécurité informatique, la plupart des organisations doivent nommer un Data Protection Officer.
DPO RGPD : quel est son rôle au sein d’une entité ?
Du temps de la Loi Informatique et Libertés, le DPO existait déjà. Il remplissait la fonction du Correspondant Informatique et Libertés. Sa nomination relève d’une obligation dans certains cas, mais son rôle reste essentiel quoi qu’il en soit. Ce dernier consiste à mener l’ensemble des directives pour que l’entreprise applique le règlement européen correctement.
Les missions du DPO RGPD peuvent être résumées comme suit :
- Sensibilisation des salariés et des collaborateurs concernant le RGPD
- Explication des conséquences du règlement sur la gestion des données
- Réalisation d’un audit et d’une étude d’impact en cas de traitement de données sensibles
- Organisation de formations
- Tenue d’un registre des traitements pour faciliter le suivi régulier et systématique des opérations
- Collaboration avec des sous-traitants ou d’autres prestataires dans le but de garantir la protection des données à caractère personnel.
Quel est le profil d’un bon DPO ?
Pour s’occuper du traitement de vos données, vous devez désigner un DPO qui possède les compétences nécessaires requises par ce poste. En effet, piloter la conformité avec le RGPD est un poste important qui exige des connaissances approfondies. Il doit posséder :
- Une expertise juridique relative à la protection de données personnelles
- Une bonne connaissance de l’organisation interne, des systèmes d’information en place et des besoins de sécurité informatique
- Ne pas être en situation de conflits d’intérêt avec une autre entreprise
- Être disponible et disposer de moyens matériels et humains adéquats dans l’exercice de ses fonctions
Il est possible de nommer un DPO au sein même de l’entreprise. Dans ce cas, il faut prévoir des coûts de formation car ce dernier devra acquérir toutes les compétences nécessaires pour remplir son rôle. Sinon, une solution plus pratique et moins coûteuse consiste à externaliser son DPO. Ce prestataire externe, grâce à son expertise, s’assurera de la bonne application du RGPD dans l’organisation. De plus, les risques de conflits d’intérêt sont limités et le cas où il ne peut remplir sa mission, il sera plus facile pour l’entreprise de s’en défaire et de nommer un autre DPO, ce qui est difficile pour une personne en CDI.