DPO externe & mutualisé

"Tout le monde n'a pas besoin d'un DPO à plein temps".

La prestation de DPO externalisé est une bonne solution pour les organisations dont le traitement de données personnelles n'est pas le cœur de métier, et qui veillent à leur conformité avec le RGPD.

Le Data Protection Officer, qu'il soit externe, ou mutualisé (pour les structures qui ont suffisamment de points communs pour se regrouper), est un DPO à part entière. Il remplit l'ensemble des missions du délégué à la protection de données : conseiller, contrôler et être l’interface avec les personnes concernées et la CNIL.

Voici les compétences et savoir-faire d’un DPO certifié* :

  1. Le DPO connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
  2. Le DPO sait identifier la base juridique d'un traitement.
  3. Le DPO sait déterminer les mesures appropriées et le contenu de l'information à fournir aux personnes concernées.
  4. Le DPO sait établir des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées.
  5. Le DPO connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  6. Le DPO sait identifier l'existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
  7. Le DPO sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données.
  8. Le DPO sait organiser et participer à des audits en matière de protection des données.
  9. Le DPO connaît le contenu du registre d'activités de traitement, du registre des catégories d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  10. Le DPO sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  11. Le DPO sait participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  12. Le DPO sait identifier les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  13. Le DPO sait déterminer s'il est nécessaire ou non d'effectuer une analyse d'impact relative à la protection des données (AIPD) et sait en vérifier l'exécution.
  14. Le DPO sait dispenser des conseils en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  15. Le DPO sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  16. Le DPO sait élaborer, mettre en œuvre et a la capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  17. Le DPO sait assurer la traçabilité de ses activités, notamment à l'aide d'outils de suivi ou de bilan annuel.

*Certification des compétences du DPO d’après le référentiel de la CNIL

Nos missions

  • Revue de conformité (état des lieux)
  • Cartographie des traitements
  • Réalisation des registres des traitements, cycle de vie, flux
  • Révision des documents légaux (contrats, mentions d'informations)
  • Gestion de projet, description des processus
  • Identification des mesures de protection des données
  • Etude d'Impact (PIA) avec outil dédié
  • Sensibilisation - Formation (culture de protection des données personnelles)
  • Vérification périodique de conformité
  • Reporting
  • Relation avec la CNIL
  • Gestion des réclamations (options)

Références :

Société ACSEP

Moyens et obligations du DPO

Les moyens

Le responsable de traitement (direction) ou le sous-traitant concerné doit veiller à l’indépendance du DPO dans l’exercice de ses missions et doit lui fournir les ressources nécessaires à leur bonne exécution, conformément à l’article 39 du RGDP. Le G29 a, à ce titre, précisé que ces obligations impliquent notamment :

    • La nomination « officielle » du DPO par le biais d’une communication interne au sein de l’entreprise,
    • La fourniture au DPO de supports, de temps, de ressources financières, d’infrastructures et, le cas échéant, d’une équipe,
    • La mise en relation du DPO avec les autres services de l’entreprise (service juridique, service sécurité, etc.),
    • L’invitation du DPO aux réunions importantes de l’entreprise,
    • La présence du DPO dès lors qu’une décision relative à une problématique liée aux données personnelles de l’entreprise doit être prise,
    • Le suivi et la prise en compte des avis et recommandations du DPO,
    • La consultation du DPO dès qu’un incident impactant les données personnelles de l’entreprise se réalise.
Les obligations
    Le DPO doit par ailleurs exercer ses missions dans le respect du secret professionnel ou d’une obligation de confidentialité. pour demeurer indépendant, le DPO ne peut exercer d’autres missions qui entraineraient un conflit d’intérêt avec ses fonctions. Le G29 a notamment indiqué, à ce titre, que le DPO ne pouvait, en conséquence, être responsable de la détermination des moyens et des finalités des traitements mis en œuvre au sein de l’entreprise.
Nous contacter
Nous contacter