Délégué à la protection des données

La désignation d’un Délégué à la protection des données (« DPO », pour Data Privacy Officer) est une obligation pour l’ensemble des personnes publiques. Les personnes privées mettant en œuvre des traitements à grande échelle ou des traitements de données sensibles sont également tenues de nommer un DPO avant le 25 mai 2018.

Pour l’ensemble des entités opérant un ou plusieurs traitements de données personnelles, la désignation d’un tel acteur est vivement recommandée par les autorités de régulation telle que la CNIL relayée au niveau européen par le G29.

Le DPO doit être indépendant, compétent et doté de moyens adéquats. La désignation d’un dirigeant est, dans la plupart des cas, prohibé en raison du risque de conflit d’intérêt. En effet, celui qui détermine les finalités d’un traitement – mettre en place des compteurs connectés dans les bureaux pour économiser l’énergie par exemple – ne peut être celui qui s’assure de la conformité du dispositif par rapport aux droits des utilisateurs.

La compétence technique et juridique du DPO doit être également prise en compte. Le DPO doit en effet contrôler la conformité juridique des traitements, ce qui dépasse de loin les missions initiales du Correspondant Informatique et Libertés (CIL). La désignation d’un DPO en interne peut ainsi s’avérer délicate.

Nos solutions :

SECURISC propose une offre souple et adaptée à chaque situation :

Vous souhaitez externaliser la fonction de DPO ? Nous vous proposons un contrat de prestation de services spécifique à une telle externalisation de la fonction. En tant que DPO externe, nous travaillerons en étroite coordination avec les référents Informatique et Libertés désignés en interne pour assurer la mise en place et la diffusion d’une politique de protection des données conforme à la Réglementation.

Vous souhaitez internaliser la fonction de DPO ? SECURISC vous propose des missions d’assistance : formation du DPO, transfert de compétences, mise à disposition d’une boîte à outils dédiée, accompagnement stratégique, sensibilisation, notes de conformité ponctuelles, mise à jour du registre des traitements.

 

Les Missions du DPO Data Protect Officer :

1. Identifier les sources potentielles de traitements de données à caractère personnel

2. Identifier et recenser, de façon exhaustive, les traitements impliquant des données à caractère personnel

3. Evaluer les risques inhérents aux traitements recenses

4. Informer les membres de son organisation de ces risques et des conséquences potentielles

5. Sensibiliser les membres de l’organisation avec le support du management et de la direction

6. Etre source de conseils et de recommandations

7. S’assurer de la prise en compte de ses conseils et recommandations lors du développement d'un nouveau traitement de données

8. Etre la voie de la médiation et de la coordination

9. Tenir à jour le registre des traitements mis en ceuvre par le responsable du traitement

10. Transmettre ce registre tous les quatre mois

11. Assister à la rédaction des demandes d'autorisation auprès des autorités

12. Définir une politique de protection des données à caractère personnel

13. Elaborer des codes de conduites

14. Contrôler l'application de la politique, des procédures et autres codes de conduite spécifiques

15. Exercer, le cas échéant, son droit d’alerte (en interne et vis-à-vis de l’autorité de contrôle)

16. Etre le lien privilégie avec L'autorité nationale et/ou Européenne, mais aussi avec les personnes concernées

17. Collaborer avec les interlocuteurs internes clés (par exemple DSI, RH, Marketing, RSSI,...)

18. Etre le point de contact pour répondre aux demandes d’information et aux réclamations

19. Apprécier les mesures de sécurité prises, et ce, avec les personnes en charge de la sécurité des données

20. Démontrer une parfaite connaissance de la législation en matière de protection des données et en assurer la veille juridique

21. Effectuer le suivi des régularisations nécessaires et actions correctives

22. Se concerter avec le personnel du responsable du traitement pour convenir des actions a mener

23. Gérer les droits d'accés, d'opposition et d'information de toute personne concernée