NTIC Conseils

DPO / RGPD DPO

Le cabinet AvoMédias vous accompagne tout au long de la mise en conformité de votre entité à la législation relative aux données à caractère personnel.

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, l’une des étapes de cette conformité repose sur la désignation d’un délégué ou correspondant à la protection des données. Lorsqu’elle n’est pas obligatoire, la désignation d’un DPO est fortement recommandée. En chef de la conformité, il aura des missions d’information et de conseil, de contrôle, d’accompagnement relatif à l’analyse d’impact et sera l’interlocuteur privilégié de la Cnil. Notre cabinet vous accompagne lors de la désignation de votre DPO. Nous vous proposons également d’être nous-même DPO de votre entreprise.

NOS PRESTATIONS

Notre cabinet vous accompagne sur toutes les questions relatives au délégué à la protection des données à caractère personnel et les étapes de sa désignation.

dpo-rgpd-01.jpg

Accompagnement dans la mise en conformité RGPD

L’une des étapes à la mise en conformité de votre organisme repose sur la désignation d’un délégué ou référent à la protection des données.

Ainsi, notre cabinet vous accompagne dans toutes les étapes relatives à la désignation de votre DPO et vous oriente sur l’ensemble des questions relatives à votre mise en conformité.

dpo-rgpd-02.jpg

Avocat DPO

En effet, la fonction de DPO peut également être exercée par un avocat. Nous pouvons ainsi être désigné comme délégué à la protection des données de votre organisme. Dans ce cas, nous nous chargerons de vous accompagner et d’effectuer l’ensemble des obligations et missions incombant au délégué à la protection des données.

dpo-rgpd-03.jpg

Nous vous representons

De par sa profession, l’avocat DPO présente les garanties nécessaires à la bonne exécution des missions de délégué à la protection des données. Nos obligations déontologiques, notamment d’indépendance et de secret professionnel, nous permettent d’être une alternative privilégiée à la désignation d’un DPO interne.

I. RGPD DPO

A. CIL INFORMATIQUE

La loi sur la confiance dans l’économie numérique du 6 août 2004 avait créée la fonction de Correspondant Informatique et Libertés (CIL), véritable intermédiaire entre les organismes et la CNIL. La désignation d’un correspondant à la protection des données personnelles permettait au responsable de traitement d’être dispensé de déclaration d’un traitement de données à caractère personnel auprès de la CNIL. Lorsqu’une entreprise comptait plus de cinquante salariés, la désignation d’un Correspondant informatique et Libertés interne était obligatoire. Aujourd’hui, la désignation d’un DPO interne ou externe à l’entreprise ne dépend plus du nombre de salariés.

Un CIL désigné avant l’entrée en vigueur du RGPD n’est pas automatiquement désigné en tant que délégué à la protection des données personnelles. Une désignation spécifique doit à nouveau être effectuée.

B. Mise en conformité RGPD

La fonction de data protection officer (DPO) ou délégué à la protection des données (DPD) a été instaurée par le Règlement général à la protection des données. La désignation d’un DPO est dans certains cas obligatoire et constitue en elle-même l’une des étapes de la mise en conformité d’une entreprise au RGPD.

Le RGPD a supprimé les déclarations préalables et demandes autorisations qui devaient être effectuées auprès de la CNIL lorsqu’un traitement de données à caractère personnel était mis en œuvre par une entreprise. Aujourd’hui, la preuve de la conformité d’un organisme à la règlementation relative aux données personnelles repose sur le principe d’Accountability. Une plus grande responsabilité incombe aux entreprises qui doivent mettre en place des processus internes démontrant leur respect à la législation. Le DPO sera la personne qui sera chargée de veiller et d’assurer cette mise en conformité.

Selon l’article 83 du RGPD, la violation par le responsable de traitement des dispositions relatives à la désignation, aux fonctions et aux missions du délégué à la protection des données est sanctionnée d’une amende administrative pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

II. LE RÔLE DU DPO

A. La désignation du DPO

La désignation d’un délégué à la protection des données personnelles est obligatoire dans trois cas prévus par l’article 37 du RGPD.

Un organisme responsable de traitement ou sous-traitant devra désigner un DPO lorsque :

  • Un traitement de données à caractère personnel est effectué par une autorité publique ou un organisme public
  • En raison de leur nature, leur portée et leurs finalités, les traitements de données à caractère personnel effectués par l’organisme exigent un suivi régulier et systématique à grande échelle des personnes
  • L’organisme effectue un traitement à grande échelle de données relatives à des condamnations pénales et à des infractions, ou de données dites sensibles (selon l’article 9 du RGPD révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie ou l’orientation sexuelle).

Dans tous les autres cas, la désignation d’un délégué à la protection des données n’est pas obligatoire mais vivement recommandée. Le DPO est le référent de la conformité de l’organisme à la règlementation relative au droit des données à caractère personnel.

Le DPO doit ainsi disposer des compétences nécessaires pour assurer au mieux sa mission. Le plus souvent, il est désigné pour ses compétences dans les domaines juridique et/ou informatique.

L’acte de désignation comportant les coordonnées du délégué à la protection des données doit être communiqué à la Commission nationale informatique et Libertés.

B. Le statut du DPO

Le délégué à la protection des données est indépendant. Il ne reçoit ni ordre ni instruction de la part du responsable de traitement et du sous-traitant. De la même manière, le DPO ne peut être relevé de ses fonctions ou faire l’objet d’une sanction pour des faits relevant de l’exercice de ses missions. Ainsi, le DPO ne sera pas responsable en cas de non-conformité de l’organisme. Cette responsabilité incombe au responsable de traitement ou sous-traitant.

Le DPO veille au respect et à la bonne application de la règlementation en matière de données à caractère personnel. Il prend part aux questions portant sur le domaine. Il est l’interlocuteur privilégié des personnes concernées par les traitements de données effectués par l’organisme. Les demandes d’information et d’exercice des droits se feront directement auprès de lui.

Le DPO peut être investi d’autres missions en dehors de la protection des données à caractère personnel. Néanmoins, il doit veiller à ce qu’aucun conflit d’intérêts ne survienne.

Le responsable de traitement et le sous-traitant doivent fournir au DPO les moyens d’exercer ses missions en lui permettant d’accéder aux données à caractère personnel présentent dans l’organisme ainsi qu’aux opérations de traitement effectuées. Le DPO doit pouvoir assurer un entretien de ses connaissances en suivant, par exemple, des formations dans ce domaine de spécialité.

C. Les missions du DPO

Chef de la conformité

Le délégué à la protection des données est le véritable chef de la conformité chargé de mener et d’accompagner l’organisme dans toutes les étapes de la mise en conformité au Règlement général à la protection des données. Il constitue ainsi la documentation nécessaire à prouver le respect de la règlementation par l’organisme. Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation.

Information et conseil

Le Délégué à la protection des données a une mission d’information et de conseil du responsable de traitement. Il informe également les salariés de l’entreprise sur leurs devoirs et obligations relatifs au traitement de données à caractère personnel.

Contrôle

Le Délégué à la protection des données contrôle le respect et la conformité de l’organisme à la règlementation relative au droit des données à caractère personnel par l’organisme. Il veille à ce que tous les salariés de l’entreprise soient formés et sensibilisés à cette règlementation.

Accompagnement relatif à l’analyse d’impact

Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le délégué à la protection des données conseille et accompagne le responsable de traitement sur la mise en œuvre et l’exécution d’une analyse d’impact.

Interlocuteur de la Cnil

Le délégué à la protection des données est l’interlocuteur privilégié de la Commission nationale informatique et Libertés. Il est le point de contact de la CNIL concernant les traitements de données à caractère personnel effectués, les consultations préalables en matière d’analyse d’impact ou toute autre question relative aux données à caractère personnel.

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.