La fonction de DPO a été encadrée, mais aussi créée, par la Commission européenne lorsqu’elle a voté le RGPD. Ainsi, la présence dans l’entreprise d’un Data Protection Officer est obligatoire dans certains cas. Lesquels ? Réponse tout de suite !
Le DPO, obligatoire dès lors qu’un certain volume de données est traité
Chargé de mettre en œuvre la conformité au Règlement européen sur la protection des données (RGPD) au sein de l’organisme qui l’a désigné, le DPO constitue un nouveau profil dans l’entreprise, pas si éloigné que ça du CIL — mais aussi très différent de lui, nous en reparlerons. Sa désignation est obligatoire pour :
- Les autorités ou les organismes publics (les administrations, les ministères…) ;
- Les organismes dont les activités imposent de réaliser un suivi “régulier et systématique”, à
grande échelle, des personnes (ici, on parle bien sûr des entreprises) ;
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé,
à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou en lien avec des condamnations pénales et/ou des infractions.
Obligatoire, mais aussi fortement recommandé : LE DPO GARANT DU RGPD
L’Union européenne aurait pu décider que le DPO était obligatoire “à partir de X salariés dans l’entreprise”, “dès lors que des données sont exploitées”, ou encore “à partir de X millions de chiffre d’affaires”. Elle n’en a rien fait, et pour plusieurs raisons. D’une part, de tels seuils n’auraient pas placé le traitement des données — et le fait qu’elles soient collectées — au cœur des préoccupations. Ensuite, cela aurait forcément créé des inégalités. Enfin, les entreprises situées en dessous de ces seuils classiques auraient pu échapper à la nomination d’un DPO… alors que cela ne les empêche pas de mettre en oeuvre le RGPD !
Reste que les critères pour la désignation d’un DPO sont assez vagues et sujets à interprétation. Où commence, par exemple, le suivi “régulier et systématique” ? À partir de quel volume de données estime- t-on que l’on se trouve face à un traitement “à grande échelle” des données ? Les réponses à ces questions ont été apportées en avril 2017 :
• Un suivi régulier est un suivi continu ou ponctuel, récurrent ou itératif, en cours ou se produisant pendant des périodes données ;
• Un suivi systématique est un suivi prévu, organisé ou méthodique, causé par un système, ou intégré à un plan général de récupération de données ou à une stratégie globale.
• Quant à la “grande échelle”… elle dépendra du nombre de personnes concernées, du volume des données, de la durée de l’activité de traitement et de son périmètre géographique.
C’est pourquoi, en dehors des cas de désignation obligatoire et évident, la désignation d’un responsable de la protection des données est fortement encouragée par les membres de l’Union européenne. Même s’il n’a pas le titre de DPO, il devra être en mesure d’identifier et de coordonner les actions à mener en matière de protection des données personnelles.
DPO interne ou externe ? LE DPO GARANT DU RGPD
Le DPO (Délégué à la protection des données) peut être interne ou externe à l’entreprise. Un DPO interne est un employé de l’entreprise qui est responsable de la protection des données personnelles. Un DPO externe, en revanche, est un prestataire de services extérieur qui travaille pour plusieurs entreprises.
Le rôle du DPO est de garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données), une réglementation de l’Union européenne qui fixe les règles pour la protection des données personnelles des citoyens de l’UE. Le DPO doit également informer et conseiller l’entreprise sur les obligations en matière de protection des données, sensibiliser les employés et surveiller la conformité de l’entreprise aux réglementations en vigueur.
• Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
• Il ne doit pas y avoir de conflit d’intérêts ;
• Il doit être joignable facilement à partir de chaque lieu d’établissement.
Vous êtes dans l’un des cas où le DPO est obligatoire ? Ne voyez pas cela comme une contrainte mais, au contraire, comme une chance d’optimiser vos process et le traitement de vos données !
La mission d’un DPO externe est similaire à celle d’un DPO interne, à savoir :
-
Garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données) et à toute autre réglementation applicable en matière de protection des données personnelles.
-
Informer et conseiller l’entreprise sur les obligations en matière de protection des données.
-
Sensibiliser les employés de l’entreprise aux bonnes pratiques de protection des données personnelles.
-
Surveiller la conformité de l’entreprise aux réglementations en vigueur.
-
Assister l’entreprise en cas de contrôle de l’autorité de protection des données ou de réclamation d’un titulaire de données.
En tant que prestataire de services externe, le DPO peut également offrir ses services à plusieurs entreprises, ce qui lui permet de développer une expertise approfondie en matière de protection des données personnelles et de garantir une conformité efficace à la réglementation.
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou directement avec le tchat (en bas a gauche de votre écran) ou le Formulaire de contact
Devoirs d’information et de transparence Pour respecter le RGPD, vous devez également tenir vos devoirs d’information et de transparence vis-à-vis des participants à votre étude de marché.
Communiquez sur :
- L’identité et les coordonnées du responsable du traitement (la personne de votre entreprise qui décide de la finalité du traitement)
- Vos engagements en matière de protection des données personnelles
- Les destinataires des données collectées
- La durée de conservation des données
- Le caractère obligatoire ou facultatif des réponses
- L’existence de droits d’accès, de rectification et de suppression des données pour le participant pendant la durée de l’étude.
Ces informations doivent être facilement accessibles, dans un langage clair et intelligible. Pensez à inclure ces précisions dans les mentions légales de formulaire.
Externalisation des études à un sous-traitant Si vous externalisez vos enquêtes auprès d’un institut de sondage ou d’une société spécialisée, assurez-vous contractuellement qu’ils présentent des garanties suffisantes de conformité RGPD.
Exclusivité DPO PARTAGE
Trouver le DPO d'une société
Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.
Annuaiare des DPOExigez qu’ils s’engagent par contrat à :
- Traiter les données uniquement selon vos instructions
- Ne pas communiquer les données à d’autres tiers
- Supprimer les données une fois le service réalisé
Ce contrat doit prendre la forme d’un acte juridique contraignant. L’externalisation ne vous exempte pas de vos responsabilités en termes de protection des données personnelles.
Désigner un référent RGPD/DPO Pour montre votre engagement RGPD, vous pouvez désigner un référent interne en la matière ou avoir recours à un Délégué à la Protection des Données (DPO) externe. Celui-ci pourra valider vos procédures d’enquêtes, réaliser des audits RGPD et vous assister en cas de besoin.
Avec ces bonnes pratiques, vous mènerez des études de marché utiles tout en protégeant efficacement les données personnelles des participants ! N’hésitez pas à contacter notre équipe de DPO externalisés pour plus d’accompagnement.
[…] des missions du Délégué à la Protection des Données est la sensibilisation au RGPD du personnel au RGPD, et surtout aux bonnes pratiques à suivre […]