RGPD : Et vous, vous en êtes où ?

J'dis ça, j'dis rien ... mais faire l'autruche serait une erreur !

En dehors des cas obligatoires, la nomination d’un DPD est fortement CONSEILLEE (et encouragée par les membres du G29) car échapper à la nomination obligatoire d’un DPD (DPO en anglais) ne dispense pas pour autant d'assurer votre mise en conformité RGPD, certes de sécuriser l'accès et l'utilisation de vos données, et surtout de vous prémunir contre le "risque procédural" en matière d'atteinte à la vie privée des personnes (salariés, consommateurs, clients et fournisseurs) :

Nommer un DPD, c’est s’assurer de confier à un expert l’identification et la coordination des actions en matière de protection des données personnelles.

En dehors des cas de nomination obligatoire d’un DPD, la mise en conformité RGPD concerne tout le monde non pas tant sur les aspects organisationnels (information, tenue des registres, sécurité des données etc..) pour lesquels les petites entreprises pensent être à l’abri de toute complexité, mais sur le plan de la vie privé le risque procédural est élevé dès lors qu’un consommateur, un salarié, une association, un client ou un fournisseur vous attaque pour non-respect de la vie privée …

Dans ce cas-là, il vous appartiendra de prouver que vous avez respecté les dispositions du RGPD et leur mise en oeuvre, c’est-à-dire de prouver que vous avez dès Mai 2018 au plus tard, initié une démarche de mise en conformité pour établir une procédure claire, justifiée et sécurisée sur le traitement et l’utilisation des données personnelles, de vos clients, prospects et personnels.

RGPD : ET VOUS, OU EN ETES VOUS ?

Il est déjà prouvé que les données habituelles de traitement des entreprises comme le fichier "habituels" comme les fichiers RH, clients ou prospect entrent dans ce champ d’application de mise en conformité avec le RGPD et ce dès Mai 2018. Avez-vous idée de l’impact de vos traitements marketing, de la perméabilité dans le transfert et l’utilisation de vos données par diverses personnes ou organismes, etc…

Donc, vous entendez parler depuis quelques semaines de la mise en place du RGPD, qui semble ne vous concerner que de loin et il est vrai, puisque les seules entreprises ou organismes qui doivent procéder à la nomination OBLIGATOIRE d’un Délégué à la Protection des Données (DPD) sont définies dans certains cas précis :

- Autorités ou organismes publics

- Organismes qui opèrent un suivi régulier et systématique des personnes à grande échelle

- Organismes qui traitent des données dites sensibles ou relatives aux peines et délits

S’il n’existe pas de profil type (les DPD ou ex CIL sont issus indépendamment du technique, du juridique ou de l’administratif), outre ses qualifications et qualités, le DPD doit pouvoir exercer ses missions et sa fonction en toute indépendance et sans conflits d’intérêts.

Ainsi, par exemple, les entreprises, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts : directeur général, directeur opérationnel, directeur financier, responsable marketing, responsable des ressources humaines ou responsable du service informatique, 

Tous les autres rôles de l’entreprise, même à un niveau inférieur de hiérarchie sont susceptibles d’être en conflit avec un statut de DPD « dès lors que ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement ».

RGPD : ET VOUS, OU EN ETES VOUS ?

Le DPD est le « Chef d’orchestre de la conformité en matière de protection des données au sein de son entreprise ou organisme, le délégué à la protection des données est principalement chargé :

• d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ; (le sperosnnes qui ont accès et manipulent des données dans l’entreprise, les prestaires logiciels, les partenaires etc…) 

• de contrôler le respect du règlement et du droit national en matière de protection des données ;

• de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;

• de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après).

Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’entreprise ou l’organisme qui l’a désigné :

• réaliser l’inventaire des traitements de données personnelles mis en œuvre ;

• évaluer ses pratiques et mettre en place des procédures (audits, privacy by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;

• identifier les risques associés aux opérations de traitement ;

• établir une politique de protection des données personnelles ;

• sensibiliser les opérationnels et la direction sur les nouvelles obligations.

RGPD : ET VOUS, OU EN ETES VOUS ?

Pour toutes ses questions, nous vous accompagnons dans la démarche d’initialisation et de mise en conformité. De la démarche d’information, de formation et de coaching, jusqu’à l’intégration de la fonction et de missions de DPD, PROJECTEEC SAS vous accompagne et vous proposes des formules adaptées aux situations rencontrées ou souhaits de votre organisation :

- L’entreprise veut recourir à un DPD externe comme PROJECTEEC par exemple,

- L’Entreprise peut nommer un DPD interne et le faire assister par un professionnel comme PROJECTEEC pour une période déterminée et renouvelable

- Un groupement d’entreprises souhaite mutualiser le recours à un DPD externe en faisant appel à PROJECTEEC

Nous proposons des formules packagées « initialisation », jusqu’à une mise en œuvre déléguée dans le cadre d'un contrat de services annualisé. Plus simplement nous proposons un accompagnement « DPO coaching » sous forme de pack de jours prépayés et à tarifs négociés pour assister votre DPD interne.

Votre contact sur Toulouse et Région :

Arnaud GARCIA 06 84 80 39 98 agarcia@projecteec.com