DE VOS TRAITEMENTS DE DONNÉES
ZOOM
Mission et profil du Data Protection Officer
Nous réalisons des missions d’audit afin d’évaluer le niveau de conformité de votre structure.
Sur la base des travaux déjà menés au sein de votre structure, nous évaluons les écarts de conformité avec les réglementations applicables en matière de protection des données personnelles (RGPD).
Ces missions d’audit donnant lieu à la rédaction systématique de deux livrables pragmatiques, sont réalisées :
- sur place (sur la base d’interviews avec le personnel concerné),
- à distance lorsque des impératifs l’imposent (équipes à l’international par exemple)
- sur la base de ressources documentaires (contrats avec vos prestataires, charte informatique, etc.)
Le rapport d’audit de conformité est le premier livrable intégrant les constats observés durant l’état des lieux, la justification légale des écarts constatés avec la règlementation (GAP ANALYSIS) ainsi que des analyses juridiques sur des problématiques nécessitant des observations particulières.
Le plan d’action est le second livrable, document plus pragmatique destiné à être un outil de travail. Il intègre sous forme de tableau les actions concrètes de mise en conformité que votre entité doit mettre en œuvre pour se conformer aux règlementations en vigueur.
Les actions sont catégorisées selon 3 priorités afin de prendre en compte les risques de non-conformité supportées par votre entité au jour de la finalisation de l’audit.
Sectors
DPO un poste à haute responsabilité
Benefits to bank on
Obligation d’avoir un DPO, une affaire de bon sens
Voilà bien un point qui n’est pas clair tant le Règlement et les lignes de conduite du G29 sont sujets à interprétations. Ce dont on est sûr c’est qu’il est obligatoire pour toutes les institutions publiques et dans le privé lorsque l’on a affaire à des traitements qui « exigent un suivi régulier ou systématique à grande échelle » ou lorsque le traitement concerne des données sensibles (données médicales, orientations politiques, sexuelles, etc.) ou des individus plus fragiles (enfants, salariés, etc.).
Quant à l’interprétation de « suivi régulier » et (traitement) « à grande échelle », en l’absence de clarification, autant dire qu’il sera prudent de désigner d’office un DPO dès qu’un doute subsiste. À noter d’ailleurs que le règlement encourage les entreprises à désigner un DPO sur base volontaire. Je laisse aux juristes le soin d’interpréter le RGPD et je me contenterai de donner un avis basé sur le bon sens. Dès lors si votre entreprise :
- Traite des données sensibles (données médicales par exemple);
- Ou procède à des profilages (recoupement de données pour en établir de nouvelles, comme définir une catégorie socio-professionnelle en fonction du quartier habité par exemple);
- Ou traite des volumes importants (par exemple plusieurs milliers d’individus ou une majorité d’individus dans un groupe défini ou un relevé important de données par individus);
- Ou exploite ces données régulièrement (une newsletter par mois, un système de collecte permanent et efficient, des relances régulières via call center, etc.)
- Ou traite des données qui concernent des personnes « fragiles » (par exemple des enfants, des personnes âgées, des salariés, etc.)
- Ou échange des données avec des organisation hors Union Européenne
- Et sachant que cette liste n’est certainement pas exhaustive,
Alors il me semble que le bon sens et la bonne gestion imposent effectivement la nomination d’un DPO…
Consacrez-vous à votre métier ! Externalisez la fonction de DPO Nous contacter