Externaliser la fonction de DPO

Le DPO (délégué à la protection des données ou Data Protection Officer) peut être une personne interne ou externe à l’entreprise. Découvrez les avantages de confier la fonction de votre DPO à un expert Endrix.

Quelles organisations/ entreprises ont l’obligation des désigner un DPO ?

Le DPO (délégué à la protection des données ou Data Protection Officer) est garant de la bonne conformité de l’entreprise au RPGD (Le règlement général sur la protection des données). Il doit sensibiliser les collaborateurs en interne et veiller auprès de chaque service de la mise en application de la protection des données.

Le DPO informe et conseille l’entreprise ou le sous-traitant sur l’observation du RGPD, contrôle la conformité des traitements au RGPD et au droit national, conseille l’organisme sur la réalisation d’une analyse d’impact et en vérifie l’exécution, sert d’interlocuteur à la Cnil et coopérera avec elle. Il ne sera pas personnellement responsable en cas de non-conformité, cette obligation incombant à l’entreprise ou au sous-traitant.

La présence d’un DPO est obligatoire pour :

  • Les organismes publics,
  • Les organismes privés dont l’activité de base les amène à réaliser un suivi des personnes régulier, systématique et à grande échelle,
  • Les organismes privés dont les activités de base les amènent à traiter de grandes quantités de données sensibles (appartenance politique, syndicale, les origines ethniques, l’appartenance à une religion, la santé, authentification par empreinte digitale ou reconnaissance de l’iris) ou relatives à des condamnations pénales ou à des infractions

Pour tous les autres organismes, la présence du DPO est facultative mais vivement recommandée. Il peut être interne ou externe à l’organisme et peut même être mutualisé.

Quels sont les bénéfices pour votre entreprise de confier la fonction de DPO à Endrix ?

Chez Endrix, un expert est dédié pour assurer la conformité de votre entreprise. En réel partenaire stratégique, vous définissez avec lui, les options que vous souhaitez appliquer dans votre entreprise :

Vous souhaitez externaliser la fonction de DPO au sein de votre entreprise ?

Avant de désigner votre DPO, en ligne sur le site de la CNIL, vous devez vérifier qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions (source : cnil.fr).
Chez Endrix, nos DPO sont des experts certifiés de la Protection des données.
Ils sont formés constamment pour toujours être en conformité avec le règlement en vigueur.
Il n’est pas rare que la fonction de DPO soit attribuée en interne à un collaborateur dont ce n’est pas le métier et qui prend en charge cette responsabilité en plus de ses missions.
Faire appel à Endrix pour gérer la fonction de DPO externe, c’est aussi réduire le risque de non-respect de la réglementation en matière de protection des données et ainsi d’éviter les amendes de la CNIL.

Analyser, investiguer, auditer, contrôler

Le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc ), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles

Informer et responsabiliser, alerter si besoin, son responsable de traitement

Le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPD)

Moyens mise en œuvre : Audits internes Annuels de la Conformité RGPD

Veiller au respect du cadre légal

Le DPD porte conseil auprès des directions Métiers concernées et, si besoin, auprès du Responsable de traitement, et émet des avis et recommandations motivés et documentés. Pour mener à bien ses tâches, le Délégué à la protection des données se fait communiquer par le Responsable de traitement l’ensemble des informations nécessaires et dispose des moyens adéquats.

Moyens mise en œuvre :
Animation de la conformité
Point trimestriel (Relais Internes) (2H) – Tous les RIL
Veille Data Privacy (tous les trimestres)
Conseil sur la conformité de nouveaux traitements (2H)
Conseil sur les études d’impact sur la vie privée (2H)
Assistance à la réalisation d’études d’impacts (1 par an
Assistance en cas de violation des données personnelles

Informer et sensibiliser, diffuser une culture « Informatique et Libertés »

Pilote, de façon maîtnsèe, des actions visant à sensibiliser la direction, les collaborateurs – dont le personnel participant aux opérations de traitement – aux règles à respecter en matière de protection des données à caractère personnel

Moyens mise en œuvre :
Sensibilisation
Test de connaissances Réglementation et procédures
Questionnaire en ligne et détection besoin de formation
Formation en e-learning (4H)

Présenter un rapport annuel à son responsable de traitement

Le Délégué à la protection des données rend compte de son action en présentant chaque année un rapport à son Responsable de traitement. Ce rapport est le reflet fidèle de son action au cours de l’année écoulée et fait état des éventuelles difficultés rencontrée

Moyens mise en œuvre :
Rapport Annuel
Rédaction
Revue des Indicateurs
Présentation

Établir et maintenir une documentation au titre de « l’Accountability »

Le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (• Accountability ») et assure son accessibilité à l’autorité de contrôle.

Moyens mise en œuvre :
Tenue du registre des traitements du responsable de traitement

Interagir avec l’autorité de contrôle

Le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.

Moyens mise en œuvre :

Point de contact et gestion des demandes de la CNIL

Assistance en cas de contrôle de la CNIL (1 journée)

Assurer la médiation avec les personnes concernées

Le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. II traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.

Moyens mise en œuvre :
Point de contact des personnes concernées

Contactez Krystel Ywan, associée et spécialiste certifiée de la protection des données personnelles chez Endrix.

Krystel Ywan - Associée chez Endrix, spécialisée en Transformation Numérique et RGPD

Krystel YWAN

Associée et spécialiste certifiée de la protection des données personnelles chez Endrix

Prendre contact par email

    Objet

    Nom Prénom

    Email

    Téléphone (optionnel)

    Société

    Message


    Veuillez cocher notre politique de confidentialité