Notre mission quotidienne : vous faire réussir, jour après jour…

 

Offre de Consultant et de Délégué externalisé, à la Protection des Données GDPR , en temps partagé

Consultant et Délégué à la Protection des Données en temps partagé (aussi appelé DPO pour Data Protection Officer)

Nous fournissons des Consultants et des DPODPD (Data Protection Office ou Délégués à la Protection des Données en français) externalisés, en temps partagé.

Le DPO ou DPD, lorsqu’il est obligatoire, ou le Consultant à la Protection des Données lorsqu’il n’y a pas d’obligation, est un acteur clé dans le nouveau système de gouvernance de vos données.

La désignation d’un DPO / DPD interne, ou externalisé est obligatoire dans les trois cas spécifiques suivants :

  1. Lorsque le traitement est effectué par une autorité publique ou un organisme public ;
  2. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  3. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

À moins qu’il soit évident qu’un organisme n’est pas tenu de désigner un DPO / DPD, le G29 recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPO / DPD, afin qu’ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération. Cette analyse fait partie de la documentation requise au titre du principe de responsabilité. Elle peut être exigée par l’autorité de contrôle et doit être tenue à jour le cas échéant, par exemple si les responsables du traitement ou les sous-traitants exercent de nouvelles activités ou s’ils proposent de nouveaux services susceptibles de correspondre aux cas énumérés à l’article 37, paragraphe 1 du RGPD.

Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPO / DPD et ne souhaite pas en désigner sur une base volontaire, d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel. En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions. Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD) ou de data protection officer (DPO) en anglais.

Nous proposons des missions de conseil, en temps partagé, à la protection des données. Ces missions vous permettent d’initier une démarche de mise en conformité GDPR, mais aussi, par la suite, d’assurer un suivi en toute neutralité du maintien de votre conformité.

Missions

Les principales missions de nos Consultants et Délégués à la Protection des Données sont :

  • Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • Contrôler le respect du règlement et du droit national en matière de protection des données ;
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci en cas de besoin.

Moyens d’action

Nos Consultants ou Délégués à la Protection des Données doivent bénéficier d’un réel soutien, pour cela l’organisation cliente devra en particulier :

  • S’assurer de leur implication dans toutes les questions relatives à la protection des données ;
  • Leur fournir les ressources nécessaires à la réalisation de leurs tâches ;
  • Leur permettre d’agir de manière indépendante ;
  • Leur faciliter l’accès aux données et aux opérations de traitement ;
  • Veiller à l’absence de conflit d’intérêts.

Organisation de la fonction

Nos Consultants et Délégués à la Protection des Données s’approprient les nouvelles obligations imposées par le règlement européen, en s’appuyant notamment sur les lignes directrices du G29 (portabilité, autorité chef de file, analyse d’impact). Et ils s’organisent pour déployer et animer les missions suivantes :

  • Réalisation de l’inventaire des traitements de données personnelles mis en œuvre ;
  • Evaluation des pratiques et mise en place des procédures (audits, privacy  by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
  • Identification des risques associés aux opérations de traitement ;
  • Création d’une politique de protection des données personnelles ;
  • Sensibilisation des opérationnels et de la direction sur les nouvelles obligations.

Le RGPD expliqué en 15 mn par Cookie Connecté et la CNIL

Vidéo partagée ici avec l’aimable autorisation de son créateur, M. Samson SON (aka Cookie Connecté).

Pourquoi choisir un DPD externalisé ?

Dans tous les cas où vous n’êtes pas en mesure de créer un poste de Délégué à la Protection des Données qui soit exempt de conflit d’intérêt et doté d’une bonne expertise technique des Systèmes d’Informations ainsi que d’une connaissance juridique approfondie du GDPR.

L’intérêt principal d’externaliser ce rôle de DPD (ou DPO) est de pouvoir vous appuyer sur une équipe pluridisciplinaire qui capitalise l’expérience et les connaissances au contact d’un ensemble d’organisations clientes. Ainsi vous profitez de cette mutualisation de moyens tout en vous garantissant l’absence de conflit d’intérêt. Moins cher et plus efficace.

Dans tous les cas nous affectons une seule et même personne pour le suivi d’un client, dans le cas d’un DPD obligatoire, cette personne est déclarée auprès de l’autorité de contrôle et devient ainsi le point de contact officiel de cette dernière.

Notez cependant qu’un DPD interne, salarié de votre organisation, peut-être avantageux si vous pouvez lever les principaux freins soulignés ici : créer un poste doté d’une grande autonomie et libre de toute contrainte vis-à-vis des risques de conflit d’intérêt. Dans le cas d’un DPD interne, nous pouvons apporter du soutien ponctuel ou bien au long cours à l’aide de l’un de nos Consultants à la Protection des Données en temps partagé.

Do NOT follow this link or you will be banned from the site!