La fonction de DPO a été encadrée, mais aussi créée, par la Commission européenne lorsqu’elle a voté le RGPD. Ainsi, la présence dans l’entreprise d’un Data Protection Officer est obligatoire dans certains cas. Lesquels ? Réponse tout de suite !
Le DPO, obligatoire dès lors qu’un certain volume de données est traité
Chargé de mettre en œuvre la conformité au Règlement européen sur la protection des données (RGPD) au sein de l’organisme qui l’a désigné, le DPO constitue un nouveau profil dans l’entreprise, pas si éloigné que ça du CIL — mais aussi très différent de lui, nous en reparlerons. Sa désignation est obligatoire pour :
- Les autorités ou les organismes publics (les administrations, les ministères…) ;
- Les organismes dont les activités imposent de réaliser un suivi “régulier et systématique”, à
grande échelle, des personnes (ici, on parle bien sûr des entreprises) ;
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé,
à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou en lien avec des condamnations pénales et/ou des infractions.
Obligatoire, mais aussi fortement recommandé : LE DPO GARANT DU RGPD
L’Union européenne aurait pu décider que le DPO était obligatoire “à partir de X salariés dans l’entreprise”, “dès lors que des données sont exploitées”, ou encore “à partir de X millions de chiffre d’affaires”. Elle n’en a rien fait, et pour plusieurs raisons. D’une part, de tels seuils n’auraient pas placé le traitement des données — et le fait qu’elles soient collectées — au cœur des préoccupations. Ensuite, cela aurait forcément créé des inégalités. Enfin, les entreprises situées en dessous de ces seuils classiques auraient pu échapper à la nomination d’un DPO… alors que cela ne les empêche pas de mettre en oeuvre le RGPD !
Reste que les critères pour la désignation d’un DPO sont assez vagues et sujets à interprétation. Où commence, par exemple, le suivi “régulier et systématique” ? À partir de quel volume de données estime- t-on que l’on se trouve face à un traitement “à grande échelle” des données ? Les réponses à ces questions ont été apportées en avril 2017 :
• Un suivi régulier est un suivi continu ou ponctuel, récurrent ou itératif, en cours ou se produisant pendant des périodes données ;
• Un suivi systématique est un suivi prévu, organisé ou méthodique, causé par un système, ou intégré à un plan général de récupération de données ou à une stratégie globale.
• Quant à la “grande échelle”… elle dépendra du nombre de personnes concernées, du volume des données, de la durée de l’activité de traitement et de son périmètre géographique.
C’est pourquoi, en dehors des cas de désignation obligatoire et évident, la désignation d’un responsable de la protection des données est fortement encouragée par les membres de l’Union européenne. Même s’il n’a pas le titre de DPO, il devra être en mesure d’identifier et de coordonner les actions à mener en matière de protection des données personnelles.
DPO interne ou externe ? LE DPO GARANT DU RGPD
Le DPO (Délégué à la protection des données) peut être interne ou externe à l’entreprise. Un DPO interne est un employé de l’entreprise qui est responsable de la protection des données personnelles. Un DPO externe, en revanche, est un prestataire de services extérieur qui travaille pour plusieurs entreprises.
Le rôle du DPO est de garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données), une réglementation de l’Union européenne qui fixe les règles pour la protection des données personnelles des citoyens de l’UE. Le DPO doit également informer et conseiller l’entreprise sur les obligations en matière de protection des données, sensibiliser les employés et surveiller la conformité de l’entreprise aux réglementations en vigueur.
• Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
• Il ne doit pas y avoir de conflit d’intérêts ;
• Il doit être joignable facilement à partir de chaque lieu d’établissement.
Vous êtes dans l’un des cas où le DPO est obligatoire ? Ne voyez pas cela comme une contrainte mais, au contraire, comme une chance d’optimiser vos process et le traitement de vos données !
La mission d’un DPO externe est similaire à celle d’un DPO interne, à savoir :
-
Garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données) et à toute autre réglementation applicable en matière de protection des données personnelles.
-
Informer et conseiller l’entreprise sur les obligations en matière de protection des données.
-
Sensibiliser les employés de l’entreprise aux bonnes pratiques de protection des données personnelles.
-
Surveiller la conformité de l’entreprise aux réglementations en vigueur.
-
Assister l’entreprise en cas de contrôle de l’autorité de protection des données ou de réclamation d’un titulaire de données.
En tant que prestataire de services externe, le DPO peut également offrir ses services à plusieurs entreprises, ce qui lui permet de développer une expertise approfondie en matière de protection des données personnelles et de garantir une conformité efficace à la réglementation.
Contacter DPO PARTAGE au 07 56 94 70 90 – Professionnels uniquement et Urgence Violation de Données
Savoir faire du DPO établissements sociaux et médico-sociaux
La protection des données personnelles dans les établissements sociaux et médico-sociaux est un enjeu majeur qui nécessite une grande adaptabilité de la part du DPO. En effet, chaque établissement a ses propres besoins et défis, ce qui signifie que le DPO doit être capable de s’adapter à des situations très différentes.
Exclusivité DPO PARTAGE
Vos questions sur le RGPD
Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse sous 24/48h à votre problématique.
Chez DPO PARTAGE, nous avons une grande expérience dans la fourniture de services de DPO externalisés pour les établissements sociaux et médico-sociaux. Nous comprenons que chaque établissement est unique et nécessite une approche personnalisée pour assurer la conformité aux exigences du RGPD.
Notre équipe de DPO est hautement qualifiée et possède une expertise approfondie dans la protection des données personnelles pour les établissements sociaux et médico-sociaux. Nous travaillons en étroite collaboration avec chaque établissement pour comprendre ses besoins spécifiques et développer des stratégies de protection des données sur mesure.
Nous sommes conscients que les établissements sociaux et médico-sociaux peuvent avoir des défis uniques liés à la collecte et à l’utilisation des données de santé. Nos DPO sont des experts en la matière et sont en mesure de fournir des conseils sur les meilleures pratiques pour la protection des données de santé.
En tant que partenaire de confiance pour la protection des données personnelles dans les établissements sociaux et médico-sociaux, nous nous engageons à fournir des services flexibles et adaptatifs pour répondre aux besoins de chaque établissement. Nous fournissons également une assistance continue pour aider les établissements à mettre en place des politiques de protection des données efficaces et répondre aux demandes des parties prenantes.
Si vous cherchez un partenaire de confiance pour la protection des données personnelles dans votre établissement social ou médico-social, ne cherchez pas plus loin que DPO PARTAGE. Nous sommes en mesure de fournir des services de DPO externalisés hautement personnalisés pour répondre à vos besoins uniques. Contactez-nous dès aujourd’hui pour en savoir plus sur nos services et discuter de vos besoins spécifiques.
[…] des missions du Délégué à la Protection des Données est la sensibilisation au RGPD du personnel au RGPD, et surtout aux bonnes pratiques à suivre […]