Mois : janvier 2021

Lors de sa publication et, plus encore, à l’occasion de son entrée en vigueur, le RGPD a suscité de nombreuses interrogations en raison de sa complexité. Néanmoins, une chose est certaine : le non-respect de la nouvelle réglementation expose à de lourdes sanctions. La preuve en est : en 2019, la CNIL a condamné un célèbre moteur de recherche à une amende de 50 millions d’euros pour non-respect du RGPD… Une sanction exemplaire qui tire la sonnette d’alarme au sein des entreprises. La course au DPO a démarré.

Pour tester vos connaissances, cliquez sur le bouton ci-dessous.

L’avènement du RDGP aurait pu faire émerger la fonction de DPO dans le cadre d’une simple prestation, éphémère et accessoire. Mais la mission de mise en conformité devient rapidement un métier intégré à l’organisation. Deux explications principales à cette évolution de la fonction en un métier :

En 2020, 70% des DPO sont recrutés en interne, en CDI pour les 3/4 d’entre eux : les entreprises ont à cœur d’avoir en leur sein un poste dédié à cette mission et inscrit sur le long terme.

En 2019 déjà, 89% des DPO interrogés répondaient que leur rôle dans l’entreprise était central. Ils mettent en œuvre des compétences précises et accomplissent des tâches qui leur sont exclusivement réservées, définies en amont par l’organisation qui les désigne. Au-delà de cette spécialisation, les DPO se sentent utiles socialement : avec l’avènement du numérique, le DPO se met au service de la confiance dans le numérique.

Plus les législations évoluent et plus l’entreprise se digitalise, plus la tâche du DPO est importante : son investissement est quotidien.

Pour se démarquer et s’épanouir dans son métier, le DPO mise sur la formation d’une part, l’évolution de carrière d’autre part.

Deux objectifs : s’adapter aux nouveaux usages du numérique et harmoniser le cadre légal à l’échelle européenne. Le texte encadre le traitement des données personnelles, en imposant des règles strictes aux professionnels. Qui est concerné ? Quelles applications concrètes du RGPD en entreprise ? Quel investissement en temps et en compétences ?

Tout professionnel qui traite des données personnelles doit être en conformité avec le RGPD.

Vous collectez des informations sur vos prospects à des fins commerciales (envoi de newsletters, par exemple) ? Vous tenez un fichier avec les coordonnées de vos clients pour votre activité de vente en ligne ? Vous exploitez une base marketing dans le cadre d’opérations publicitaires ciblées ? Vous êtes concerné.

Avec le développement du numérique, peu d’entreprises échappent au RGPD. Si le texte paraît contraignant, il offre une contrepartie précieuse : en respectant les droits des personnes au moment de collecter, stocker et utiliser leurs données personnelles, l’entreprise fait preuve de responsabilité numérique. La confiance du consommateur est renforcée, et la relation client améliorée.

Première étape de mise en conformité au RGPD, l’entreprise doit identifier et organiser ses différents traitements de données. En constituant un registre de ses traitements, l’entreprise dispose d’une vision claire sur l’ensemble des données personnelles dont elle est détentrice, et qu’elle doit manier avec précautions…

Précaution essentielle à prendre dans le respect du texte du RGPD : l’entreprise ne doit conserver que les données utiles, qu’elle détient légitimement, et pour une durée strictement nécessaire. Concrètement, il s’agit à ce stade de s’interroger sur les besoins réels de l’entreprise. Toutes les données inutiles, ainsi que les données obsolètes, sont supprimées.

Dans le respect des droits des personnes, conformément au RGPD, l’entreprise doit :

L’entreprise doit être consciente des risques de brèche dans son système informatique, et mettre en place des moyens de sécurisation performants. Ces moyens doivent être régulièrement mis à jour.

Le respect du RGPD impose non seulement de mettre en place les actions adéquates, mais aussi de les inscrire dans le cadre d’une démarche continue. Les usages du numérique évoluent rapidement, et les lois également. Pour s’assurer d’être toujours en conformité, l’entreprise doit consacrer des compétences et du temps. La désignation d’un DPO (Délégué à la Protection des Données) s’avère précieuse à cet effet, et elle est même obligatoire pour :

Pour être en conformité avec le RGPD, mais aussi pour renforcer la confiance des personnes en vue d’une meilleure relation client, l’entreprise s’attèle à un chantier d’envergure, via des actions qui doivent perdurer. À la clé : l’entreprise peut utiliser sereinement les données personnelles de ses clients et prospects, respecter leurs droits et instaurer une relation de confiance.

A chaque entreprise ses spécificités liées à son secteur d’activité. La nature des données personnelles stockées, les finalités de la collecte, la durée de conservation et les modalités d’exploitation diffèrent, les mesures de mise en conformité à mettre en œuvre également. Le DPO rassemble les informations, pour définir le périmètre d’action de la mise en conformité. Vous êtes assuré de mettre en œuvre les actions nécessaires.

Fort de son expertise en droit, le DPO se tient à jour des évolutions légales et réglementaires, et en comprend précisément les enjeux. Cette compétence du DPO vous permet d’être continuellement en conformité avec vos obligations.

Chaque traitement de données doit être parfaitement organisé, de manière à fluidifier leur utilisation tout en veillant au respect des droits des personnes. Le DPO cartographie les traitements pour disposer d’une vision claire sur l’ensemble des données personnelles, afin de les manier plus efficacement et précautionneusement.

Devant l’ampleur de la tâche, prioriser les actions à mener permet à l’entreprise de se mettre plus rapidement en conformité avec le RGPD. Dûment formé, le DPO connaît les actions prioritaires à mettre en œuvre pour ne pas risquer de sanctions.

Le RGPD est un texte complexe. La connaissance accrue du DPO en la matière lui permet d’identifier les risques majeurs au moment de la mise en conformité. Une fois les risques identifiés, il veille au parfait respect des droits des personnes, pour éviter les réclamations.

La mise en conformité avec le RGPD requiert l’action collective de différents acteurs de l’entreprise. Le DPO joue le rôle de chef d’orchestre pour coordonner les procédures et les rendre plus efficaces.

L’entreprise a tout intérêt à documenter l’ensemble des mesures prises pour la mise en conformité avec le RGPD. Ce faisant, elle se défend efficacement en cas de contrôle ou de réclamation. Le DPO prend en charge cette tâche, et rassemble toutes preuves utiles à l’entreprise.

Dans le cadre de leur action collective, les différents collaborateurs concernés doivent être mis en relation. Le DPO structure le réseau à cet effet, il identifie les personnes relais.

Le DPO assure également la communication interprofessionnelle, pour tirer parti des retours d’expérience et mettre en œuvre les bonnes pratiques dans l’entreprise. Pour ce faire, il est nécessaire de se rapprocher des DPO du même secteur d’activité ou d’une même zone géographique.

Toujours à jour des textes et de l’esprit de la loi, le DPO communique en interne de manière à impliquer la collectivité des collaborateurs dans la mise en conformité avec le RGPD.

Obligatoire ou non, la désignation d’un DPO en entreprise s’avère indispensable. Le data protection management -ou gestion de la protection des données- requiert des compétences et des connaissances particulières, pour lesquelles il faut avoir été formé. De la mise en place au suivi des actions, cet expert est compétent pour prendre en charge la mission de mise en conformité continue, au gré des évolutions réglementaires et des usages du numérique.