adminIMT

Comment mettre en œuvre le RGPD entré en vigueur en 2018 dans une petite ou moyenne organisation ? Quelles sont les obligations du responsable des traitements des données personnelles ? Quels sont les droits des personnes concernées ?

Dans cet ouvrage destiné aux collectivités locales, aux PME et TPE, aux professions libérales, aux associations ou encore aux dirigeants d’entreprises désireux de connaître leurs obligations légales en matière de protection des données, Fabrice Mattatia présente notamment les principales notions du RGPD, les différentes étapes de mise en conformité et fournit également des modèles d’organisation méthodologique et des exemples de mentions d’information, réponses types, rubriques de registres, etc.

Pour commander l’ouvrage, rendez-vous sur le lien suivant :

Depuis l’application du RGPD en mai 2018, recruter un Délégué à la Protection des Données (aussi appelé Data Protection Officer ou DPO) est devenu incontournable pour les organisations. Pour répondre à ces enjeux, IMT-BS a créé le Mastère Spécialisé Data Protection Management dans l’objectif de former des DPO chargés de définir et de mettre en œuvre la politique de conformité de protection des données personnelles au sein des organisations.

Lors de sa publication et, plus encore, à l’occasion de son entrée en vigueur, le RGPD a suscité de nombreuses interrogations en raison de sa complexité. Néanmoins, une chose est certaine : le non-respect de la nouvelle réglementation expose à de lourdes sanctions. La preuve en est : en 2019, la CNIL a condamné un célèbre moteur de recherche à une amende de 50 millions d’euros pour non-respect du RGPD… Une sanction exemplaire qui tire la sonnette d’alarme au sein des entreprises. La course au DPO a démarré.

Pour tester vos connaissances, cliquez sur le bouton ci-dessous.

L’avènement du RDGP aurait pu faire émerger la fonction de DPO dans le cadre d’une simple prestation, éphémère et accessoire. Mais la mission de mise en conformité devient rapidement un métier intégré à l’organisation. Deux explications principales à cette évolution de la fonction en un métier :

En 2020, 70% des DPO sont recrutés en interne, en CDI pour les 3/4 d’entre eux : les entreprises ont à cœur d’avoir en leur sein un poste dédié à cette mission et inscrit sur le long terme.

En 2019 déjà, 89% des DPO interrogés répondaient que leur rôle dans l’entreprise était central. Ils mettent en œuvre des compétences précises et accomplissent des tâches qui leur sont exclusivement réservées, définies en amont par l’organisation qui les désigne. Au-delà de cette spécialisation, les DPO se sentent utiles socialement : avec l’avènement du numérique, le DPO se met au service de la confiance dans le numérique.

Plus les législations évoluent et plus l’entreprise se digitalise, plus la tâche du DPO est importante : son investissement est quotidien.

Pour se démarquer et s’épanouir dans son métier, le DPO mise sur la formation d’une part, l’évolution de carrière d’autre part.

Deux objectifs : s’adapter aux nouveaux usages du numérique et harmoniser le cadre légal à l’échelle européenne. Le texte encadre le traitement des données personnelles, en imposant des règles strictes aux professionnels. Qui est concerné ? Quelles applications concrètes du RGPD en entreprise ? Quel investissement en temps et en compétences ?

Tout professionnel qui traite des données personnelles doit être en conformité avec le RGPD.

Vous collectez des informations sur vos prospects à des fins commerciales (envoi de newsletters, par exemple) ? Vous tenez un fichier avec les coordonnées de vos clients pour votre activité de vente en ligne ? Vous exploitez une base marketing dans le cadre d’opérations publicitaires ciblées ? Vous êtes concerné.

Avec le développement du numérique, peu d’entreprises échappent au RGPD. Si le texte paraît contraignant, il offre une contrepartie précieuse : en respectant les droits des personnes au moment de collecter, stocker et utiliser leurs données personnelles, l’entreprise fait preuve de responsabilité numérique. La confiance du consommateur est renforcée, et la relation client améliorée.

Première étape de mise en conformité au RGPD, l’entreprise doit identifier et organiser ses différents traitements de données. En constituant un registre de ses traitements, l’entreprise dispose d’une vision claire sur l’ensemble des données personnelles dont elle est détentrice, et qu’elle doit manier avec précautions…

Précaution essentielle à prendre dans le respect du texte du RGPD : l’entreprise ne doit conserver que les données utiles, qu’elle détient légitimement, et pour une durée strictement nécessaire. Concrètement, il s’agit à ce stade de s’interroger sur les besoins réels de l’entreprise. Toutes les données inutiles, ainsi que les données obsolètes, sont supprimées.

Dans le respect des droits des personnes, conformément au RGPD, l’entreprise doit :

L’entreprise doit être consciente des risques de brèche dans son système informatique, et mettre en place des moyens de sécurisation performants. Ces moyens doivent être régulièrement mis à jour.

Le respect du RGPD impose non seulement de mettre en place les actions adéquates, mais aussi de les inscrire dans le cadre d’une démarche continue. Les usages du numérique évoluent rapidement, et les lois également. Pour s’assurer d’être toujours en conformité, l’entreprise doit consacrer des compétences et du temps. La désignation d’un DPO (Délégué à la Protection des Données) s’avère précieuse à cet effet, et elle est même obligatoire pour :

Pour être en conformité avec le RGPD, mais aussi pour renforcer la confiance des personnes en vue d’une meilleure relation client, l’entreprise s’attèle à un chantier d’envergure, via des actions qui doivent perdurer. À la clé : l’entreprise peut utiliser sereinement les données personnelles de ses clients et prospects, respecter leurs droits et instaurer une relation de confiance.

A chaque entreprise ses spécificités liées à son secteur d’activité. La nature des données personnelles stockées, les finalités de la collecte, la durée de conservation et les modalités d’exploitation diffèrent, les mesures de mise en conformité à mettre en œuvre également. Le DPO rassemble les informations, pour définir le périmètre d’action de la mise en conformité. Vous êtes assuré de mettre en œuvre les actions nécessaires.

Fort de son expertise en droit, le DPO se tient à jour des évolutions légales et réglementaires, et en comprend précisément les enjeux. Cette compétence du DPO vous permet d’être continuellement en conformité avec vos obligations.

Chaque traitement de données doit être parfaitement organisé, de manière à fluidifier leur utilisation tout en veillant au respect des droits des personnes. Le DPO cartographie les traitements pour disposer d’une vision claire sur l’ensemble des données personnelles, afin de les manier plus efficacement et précautionneusement.

Devant l’ampleur de la tâche, prioriser les actions à mener permet à l’entreprise de se mettre plus rapidement en conformité avec le RGPD. Dûment formé, le DPO connaît les actions prioritaires à mettre en œuvre pour ne pas risquer de sanctions.

Le RGPD est un texte complexe. La connaissance accrue du DPO en la matière lui permet d’identifier les risques majeurs au moment de la mise en conformité. Une fois les risques identifiés, il veille au parfait respect des droits des personnes, pour éviter les réclamations.

La mise en conformité avec le RGPD requiert l’action collective de différents acteurs de l’entreprise. Le DPO joue le rôle de chef d’orchestre pour coordonner les procédures et les rendre plus efficaces.

L’entreprise a tout intérêt à documenter l’ensemble des mesures prises pour la mise en conformité avec le RGPD. Ce faisant, elle se défend efficacement en cas de contrôle ou de réclamation. Le DPO prend en charge cette tâche, et rassemble toutes preuves utiles à l’entreprise.

Dans le cadre de leur action collective, les différents collaborateurs concernés doivent être mis en relation. Le DPO structure le réseau à cet effet, il identifie les personnes relais.

Le DPO assure également la communication interprofessionnelle, pour tirer parti des retours d’expérience et mettre en œuvre les bonnes pratiques dans l’entreprise. Pour ce faire, il est nécessaire de se rapprocher des DPO du même secteur d’activité ou d’une même zone géographique.

Toujours à jour des textes et de l’esprit de la loi, le DPO communique en interne de manière à impliquer la collectivité des collaborateurs dans la mise en conformité avec le RGPD.

Obligatoire ou non, la désignation d’un DPO en entreprise s’avère indispensable. Le data protection management -ou gestion de la protection des données- requiert des compétences et des connaissances particulières, pour lesquelles il faut avoir été formé. De la mise en place au suivi des actions, cet expert est compétent pour prendre en charge la mission de mise en conformité continue, au gré des évolutions réglementaires et des usages du numérique.

Depuis 2018, le Règlement Européen sur la Protection des Données (RGPD) impose de nouvelles obligations strictes. 2 enjeux pour l’entreprise :

C’est dans ce contexte que l’entreprise désigne un DPO.

Le DPO, assure une double fonction au sein de l’organisme qui le désigne :

Tout au long de la collaboration, le DPO est en contact avec le responsable de traitement qui n’est autre que la personne physique ou morale qui détermine les finalités et moyens (objectifs, processus) d’un traitement. Les traitements pouvant être multiples : collecte, enregistrement, communication, transfert de données. Il est également le point de contact privilégié de la CNIL. En effet, le DPO coopère avec l’autorité de contrôle, le cas échéant. Cette pluralité d’interlocuteurs justifie sa totale indépendance dans l’exercice de ses missions. Autre caractéristique notable du métier de DPO : il n’est pas responsable en cas de non-conformité de l’organisme au RGPD. Il pilote la mise en œuvre du data management, mais le responsable de traitement reste seul responsable in fine.

Le métier de DPO est multidisciplinaire. La gestion des données conformément au RGPD requiert en effet une expertise juridique, ainsi que des connaissances techniques. Parmi les qualités essentielles du délégué à la protection des données :

Le métier de DPO est en plein essor depuis 2018. Voici 3 bonnes raisons de s’y intéresser :

[i] La Commission Nationale de l’Informatique et des Libertés (CNIL) définit le traitement de données personnelles comme « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé ».