Externaliser la fonction de DPO
Le DPO (délégué à la protection des données ou Data Protection Officer) peut être une personne interne ou externe à l’entreprise ou à l’association. Découvrez les avantages de confier la fonction de votre DPO à un expert Endrix.
Quelles organisations/ entreprises ont l’obligation des désigner un DPO ?
Le DPO (délégué à la protection des données ou Data Protection Officer) est garant de la bonne conformité de l’entreprise ou structure de l’ESS au RPGD (Le règlement général sur la protection des données). Il doit sensibiliser les collaborateurs en interne et veiller auprès de chaque service de la mise en application de la protection des données.
Le DPO informe et conseille l’entreprise ou le sous-traitant sur l’observation du RGPD, contrôle la conformité des traitements au RGPD et au droit national, conseille l’organisme sur la réalisation d’une analyse d’impact et en vérifie l’exécution, sert d’interlocuteur à la Cnil et coopérera avec elle.
Il ne sera pas personnellement responsable en cas de non-conformité, cette obligation incombant à l’entreprise ou au sous-traitant.
La présence d’un DPO est obligatoire pour :
- Les organismes publics,
- Les organismes privés dont l’activité de base les amène à réaliser un suivi des personnes régulier, systématique et à grande échelle,
- Les organismes privés dont les activités de base les amènent à traiter de grandes quantités de données sensibles (appartenance politique, syndicale, les origines ethniques, l’appartenance à une religion, la santé, authentification par empreinte digitale ou reconnaissance de l’iris) ou relatives à des condamnations pénales ou à des infractions
Pour tous les autres organismes tels que les associations, la présence du DPO est facultative mais vivement recommandée. Il peut être interne ou externe à l’organisme et peut même être mutualisé.
Quels sont les bénéfices pour votre entreprise de confier la fonction de DPO à Endrix ?
Chez Endrix, un expert est dédié pour assurer la conformité de votre entreprise ou structure de l’économie sociale et solidaire.
En réel partenaire stratégique, vous définissez avec lui, les options que vous souhaitez appliquer dans votre entreprise :
Vous souhaitez externaliser la fonction de DPO au sein de votre entreprise ou association ?
Avant de désigner votre DPO, en ligne sur le site de la CNIL, vous devez vérifier qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions (source : cnil.fr).
Chez Endrix, nos DPO sont des experts certifiés de la Protection des données.
Ils sont formés constamment pour toujours être en conformité avec le règlement en vigueur.
Il n’est pas rare que la fonction de DPO soit attribuée en interne à un collaborateur dont ce n’est pas le métier et qui prend en charge cette responsabilité en plus de ses missions.
Faire appel à Endrix pour gérer la fonction de DPO externe, c’est aussi réduire le risque de non-respect de la réglementation en matière de protection des données et ainsi d’éviter les amendes de la CNIL.
Analyser, investiguer, auditer, contrôler
Le DPO (Data Protection Officer ou Délégué à la Protection des Données en français), mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc ), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
Les experts DPO Endrix s’occupent de la protection des données de votre entreprise, association, fonds de dotation, coopératives et des entreprises de l’économie sociale et solidaire.
Informer et responsabiliser, alerter si besoin, son responsable de traitement
Le Délégué à la Protection des Données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPD)
Moyens mise en œuvre : Audits internes Annuels de la Conformité RGPD.
Veiller au respect du cadre légal
Le DPO (Data Protection Officer) ou Délégué à la Protection des Données porte conseil auprès des directions Métiers concernées et, si besoin, auprès du Responsable de traitement, et émet des avis et recommandations motivés et documentés.
Pour mener à bien ses tâches, le Délégué à la protection des données se fait communiquer par le Responsable de traitement l’ensemble des informations nécessaires et dispose des moyens adéquats.
Moyens mise en œuvre :
- Animation de la conformité
- Point trimestriel (Relais Internes) (2H) – Tous les RIL
- Veille Data Privacy (tous les trimestres)
- Conseil sur la conformité de nouveaux traitements (2H)
- Conseil sur les études d’impact sur la vie privée (2H)
- Assistance à la réalisation d’études d’impacts (1 par an
- Assistance en cas de violation des données personnelles
Informer et sensibiliser, diffuser une culture « Informatique et Libertés »
Pilote, de façon maîtrisée, des actions visant à sensibiliser la direction, les collaborateurs – dont le personnel participant aux opérations de traitement – aux règles à respecter en matière de protection des données à caractère personnel.
Moyens mise en œuvre :
- Sensibilisation
- Test de connaissances Réglementation et procédures
- Questionnaire en ligne et détection besoin de formation
- Formation en e-learning (4H)
Présenter un rapport annuel à son responsable de traitement
Le Délégué à la protection des données rend compte de son action en présentant chaque année un rapport à son Responsable de traitement. Ce rapport est le reflet fidèle de son action au cours de l’année écoulée et fait état des éventuelles difficultés rencontrée
Moyens mise en œuvre :
- Rapport Annuel
- Rédaction
- Revue des Indicateurs
- Présentation
Établir et maintenir une documentation au titre de « l’Accountability »
Le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (• Accountability ») et assure son accessibilité à l’autorité de contrôle.
Moyens mise en œuvre :
Tenue du registre des traitements du responsable de traitement
Interagir avec l’autorité de contrôle
Le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.
Moyens mise en œuvre :
- Point de contact et gestion des demandes de la CNIL
- Assistance en cas de contrôle de la CNIL (1 journée)
Assurer la médiation avec les personnes concernées
Le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. II traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
Moyens mise en œuvre :
Point de contact des personnes concernées
Contactez Krystel Ywan, associée et spécialiste certifiée de la protection des données personnelles chez Endrix.

Krystel YWAN
Associée et spécialiste certifiée de la protection des données personnelles chez Endrix
Prendre contact par email