Le règlement général sur la protection des données (RGPD) est entré en vigueur au printemps 2018, remplaçant la directive sur la protection des données, créée en 1980, en tant que règle directrice générale relative à la protection des données à caractère personnel des citoyens de l’Union Européenne. Mais le RGPD a des effets de grande portée, impactant non seulement les entreprises basées dans l’UE, mais également toutes les entreprises du monde entier qui contrôlent ou traitent les données des citoyens de l’UE. Selon le RGPD, les entreprises qui traitent ou stockent un grand volume de données à caractère personnel doivent désigner un délégué à la protection des données.
Sommaire
Quels sont les rôles d’un DPO dans le cadre du RGPD
Le rôle du délégué à la protection des données est complexe car, il sert de point de contact entre l’organisation et les autorités de surveillance. Il lui incombe également d’informer les employés sur les exigences en matière de conformité et de former le personnel chargé du traitement des données. Par ailleurs, le DPO effectue des audits de sécurité réguliers et formule des recommandations pour favoriser le respect des réglementations et des meilleures pratiques. L’introduction du RGPD a entraîné une demande généralisée des responsables de la protection des données qualifiés, mais comme il s’agit d’un nouveau rôle, il manque de professionnels qualifiés pour combler ce poste. Au-delà de la pénurie de DPO qualifiés, de nombreuses entreprises sont confrontées à des incertitudes quant au processus de recrutement et d’embauche.
Les missions du DPO: protéger et conseiller
La toute première mission du délégué à la protection des données consiste à s’assurer que le traitement des données à caractère personnel n’a pas d’incidence négative sur les personnes concernées. C’est une formulation plutôt technique qui consiste simplement à dire que le DPO ne peut pas intervenir après les faits, c’est-à-dire une fois que le traitement a déjà été mis en œuvre. Comme indiqué ci-dessus, la véritable force du DPO n’est pas de conseiller son client après un préjudice, mais de lui donner des conseils sur les meilleures pratiques et de prendre en compte les notions de « respect de la vie privée » et de « respect de l’environnement par défaut ». Ces deux expressions signifient simplement que le traitement des données à caractère personnel doit incorporer certaines garanties, qui sont validées indépendamment par le DPO dès le début. Le non-respect de cette règle peut entraîner des amendes. Aussi, faire valider votre processus de traitement par un DPO ou un expert sur la protection de la vie privée avant sa mise en œuvre est indispensable.
Quand faut-il nommer un DPO?
La plupart des critères de désignation d’un délégué à la protection des données s’appliquent à la plupart des organisations. Le règlement définit trois scénarios concernant l’exigence de nomination d’un DPO.
Les contrôleurs et les responsables du traitement des données à caractère personnel doivent désigner (ou recrutent / engagent) un délégué à la protection des données lorsque:
- Le traitement est effectué par une « autorité publique » :
Bien qu’il n’y ait pas de définition claire dans la législation, les directives indiquent qu’il s’agit d’une question de droit national.
- Les «activités principales» nécessitent un suivi régulier et systématique des personnes concernées sur une «grande échelle» :
Les «activités principales» peuvent être considérées comme les opérations clés nécessaires pour atteindre les objectifs du contrôleur ou du sous-traitant. Il n’existe pas de définition de ce que l’on entend par «grande échelle». Toutefois, on peut l’assimiler au traitement de données clients par une compagnie d’assurance ou une banque, ou le traitement de données à caractère personnel à des fins de publicité comportementale par un moteur de recherche. Les «activités principales» impliquent un traitement «à grande échelle» de «catégories spéciales» de données à caractère personnel et relatives à des condamnations pénales et à des infractions. Les « catégories spéciales » de données sont généralement les mêmes que les données à caractère personnel sensibles selon la loi de 1998 sur la protection des données. Elles couvrent l’origine ethnique, les opinions politiques, les convictions religieuses et les données relatives à la santé. Elles s’appliquent notamment aux sociétés de sondage, aux syndicats et aux prestataires de soins de santé. Plus d’informations sur ce lien https://mydposolution.com/nos-offres/
Recrutement ou nomination d’un DPO
Le DPO joue un rôle crucial. Avec le risque d’amendes importantes en cas de non-conformité, le recrutement d’un DPO doit être fait dans les règles de l’art. Les directives du RGPD offrent un aperçu sur ce qui est requis. Bien que l’article 37 ne spécifie pas les qualités professionnelles à prendre en compte lors de la désignation du délégué à la protection des données, il est également important que responsable de la protection de donné ait une expertise su les lois et les pratiques nationales et européennes en matière de protection des données et une compréhension approfondie du RGPD.
Un DPO doit avoir une :
- Expertise dans les lois et pratiques nationales et européennes en matière de protection des données
- Compréhension approfondie du RGPD
- Compréhension des opérations de traitement de données et de la sécurité des données
- Connaissance du secteur d’activité pertinent pour l’organisation
- Bonne compétence en communication
Le DPO sera le représentant de l’organisation auprès du bureau du Commissaire à l’information et du public, il doit donc avoir la capacité à promouvoir une culture de protection des données au sein de l’organisation.
Pourquoi un outil en ligne RGPD est-il un bon investissement?
Les entreprises et les organisations de toutes tailles peuvent utiliser un outil en ligne puissant et flexible pour assurer la conformité au règlement. Une solution au RGPD permet de minimiser les risques. En effet, une bonne solution guide l’utilisateur à travers des questions afin d’éviter les pièges et d’accroître la transparence. Avec des fonctionnalités telles que les revues automatisées, l’entreprise peut s’assurer qu’elle est toujours sur la bonne voie. Cela permet de gagner du temps car, basculer entre différents fichiers Excel et divers dossiers peut prendre beaucoup de temps. Il est possible de limiter le consacré à ces tâches élémentaires grâce à un outil efficace et de se concentrer sur des tâches plus importantes. Choisir un outil en ligne facile à utiliser peut s’avérer être un retour sur investissement rapide, car il permet d’éviter les amendes qui sont peuvent s’élever à des millions d’euros.