O P T - O N

Pour un numérique responsable ...

Accompagnement RGPD par DPO certifié

Notre accompagnement RGPD est réalisé dans les règles de l'art préconisées par les autorités : compétences certifiées, disponibilité, formations internes et ateliers pratiques RGPD.

Opt-On est certifié AFNOR et la CNIL. Conseils conformité RGPD pour PME, associations et organismes publics, CPTS et MSP par un DPO certifié AFNOR pour un numérique éthique, un audit RGPD et un accompagnement RGPD, des consultants RGPD de qualité, en Nouvelle-Aquitaine (La Rochelle), Pays de la Loire, Hauts-de-France (Amiens), et Centre-Val-de-Loire
Accompagnement RGPD par Opt-on

Accompagnement RGPD

La solution complète pour les organisations souhaitant se doter d’un délégué à la protection des données externalisé, dans les règles de l’art du RGPD (lettre de mission), et bénéficier d’un accompagnement RGPD et de conseils d’experts.

Conform-on c’est un chef de projet RGPD certifié AFNOR proposant tout ce que doit apporter un DPO interne.

La phase d’audit est incluse à l’offre d’accompagnement la première année.

Pourquoi nous choisir pour votre accompagnement RGPD ?

Nos compétences et nos valeurs font de nos consultants en conformité RGPD parmi les plus qualitatifs du marché.

Nous nous assurons des compétences de nos consultants RGPD et DPO externes, par des formations et des certifications validées par la CNIL.

Dans nos évaluations, nous ne privilégierons jamais un tiers plutôt qu’un autre : nos recommandations sont impartiales.

De plus, nous ne proposons pas de services qui pourraient présenter un conflit d’intérêt : avocat, fourniture de logiciel, prestation de cybersécurité.

Nous proposons de multiples moyens de contacter votre interlocuteur dédié, qu’il soit votre DPO désigné à la CNIL ou le consultant RGPD ponctuel. Nous nous engageons sur nos délais de réponses.

Assistance conseil RGPD et accompagnement d'un DPO certifié en France

Les avantages de l'accompagnement d'un DPO externalisé

Choisir d'externaliser la fonction de DPO et faire appel à un consultant RGPD présente plusieurs avantages.

Expertise : nos experts en RGPD disposent des connaissances nécessaires pour vous guider dans les démarches à suivre et vous aider à comprendre les enjeux.

Personnalisation : nous adaptons notre accompagnement RGPD à la taille et aux activités de votre organisation, pour vous proposer une solution sur mesure.

Sécurité juridique : choisir un accompagnement par un consultant vous assurent de respecter toutes les obligations légales et vous protègent en cas de contrôle de la CNIL.

Gain de temps : notre accompagnement RGPD vous permet de vous concentrer sur votre cœur de métier.

Périmètre de notre accompagnement RGPD

Notre accompagnement RGPD dans les règles de l'art traite des thèmes essentiels de la règlementation.

Le pilotage de la conformité RGPD est le pilier d'une action efficace dans les règles de l'art. Notre accompagnement RGPD y participe.

Le principe de documentation est essentiel pour être en mesure de démontrer les actions de conformité RGPD. Notre accompagnement RGPD permet de disposer de modèle de documents adaptés.

Le principe de responsabilité est un principe central du RGPD. Notre accompagnement permet d'évaluer les contrats régulièrement.

Respecter les droits des citoyens est primordial selon la CNIL. Notre accompagnement RGPD assure le suivi des demandes de citoyens.

Faire appel à des sous-traitants réellement engagés dans une démarche de conformité RGPD est indispensable. Notre accompagnement permet d'évaluer des potentiels sous-traitants avant l'engagement.

Le RGPD impose de mettre en place des mesures techniques et organisationnelles cohérentes avec les risques qui pèsent sur les données. Notre accompagnement permet de s'assurer de leur pertinence au fil du temps.

Disposer d'un site web conforme à la règlementation et aux directives de la CNIL est important. Notre accompagnement RGPD permet de faire évoluer les supports web selon la règlementation.

Le principe de transparence est indissociable de la conformité RGPD, vis-à-vis des partenaires, de la CNIL et des citoyens. Notre accompagnement permet de vous représenter en cas de besoin.

Les principes de "protection dès la conception" et "protection par défaut" sont essentiels pour maintenir la conformité RGPD. Notre accompagnement par un expert certifié y participe.

La conformité RGPD ne peut être atteinte et maintenue sans l'apport des connaissances nécessaires aux opérationnels. Notre accompagnement permet de former et sensibiliser tous les publics (employés, adhérents, partenaires, etc).

Contenu de notre accompagnement RGPD

Les briques qui composent notre accompagnement RGPD sont multiples pour répondre aux besoins spécifiques de votre organisation. Notre pré-diagnostic permet d'identifier les briques dont vous avez besoin.

Indispensable pour chaque projet de conformité, notre accompagnement RGPD annuel nécessite un audit de démarrage pour la création d’un plan d’action, quelle que soit votre maturité en RGPD.

L’accompagnement RGPD annuel peut prévoir du temps de formation sur site ou à distance, pour permettre aux responsables opérationnels d’acquérir les connaissances en protection de données. La formation des employés participe à la « protection par défaut » des données personnelles (Art. 25 du RGPD).

Notre présence à vos côtés vous assure une assistance illimitée dans les trois situations à risques du RGPD :

Violations de données

Contrôle de la CNIL

Demandes d’exercice de droits des citoyens.

Cette brique correspond au service Assur-on.

Qu’elle soit obligatoire ou non, votre organisation pourra désigner Opt-on comme Délégué à la protection des données auprès de la CNIL.

Notre accompagnement RGPD met à votre disposition un DPO certifié disponible 5/7j.

Vous disposez d’un crédit d’heure annuel afin de solliciter le DPO externe dans toutes les situations non urgentes (liste non exhaustive) :

Gestion du plan d’action

Évaluation d’un tiers (RGPD, écoresponsabilité)

Création de nouveau traitement

Réalisation d’analyse d’impact sur la vie privée

Opt-on est Digital Ethic Officer. Nous ne sommes pas seulement juristes, ou qu’avocat. Nous apportons à nos clients une vision à 360 de leur numérisation.

Nous pouvons évaluer l’écoresponsabilité de vos sous-traitants, et bâtir avec vous les outils numériques de demain qui respecteront l’environnement.

Nous souhaitons soutenir l’inclusivité en favorisant les outils numériques facile à utiliser pour tous (RGAA).

Opt-on est le 1er cabinet de Digital Ethic Officer en France.

Nous vous fournissons gratuitement les modèles de documents pour vous faire gagner du temps :

Politique de confidentialité

Registre de traitement

Registres secondaires

Procédure de gestion des habilitations

Nous vous assistons dans la personnalisation de vos documents.

De plus, si vous ne souhaitez pas souscrire à notre logiciel, nous vous fournissons gratuitement notre outil développé en interne pour votre gestion de projet (tableur).

Nous vous fournissons gratuitement des supports de communication permettant la sensibilisation de vos employés, partenaires ou adhérents. Ces documents prennent la forme d’affiches, de fiches réflexes ou fiches repères, créées par les pouvoirs publics (CNIL, ANSSI) et par Opt-on.

De plus, nous testons les connaissances de vos collaborateurs via des questions de mise en situation développés avec vous.

Notre accompagnement RGPD s’adapte à votre besoin. Par exemple, vous êtes en charge d’accompagner un secteur dans la numérisation de ses acteurs, nous mettons en place des ateliers pratiques permettant à vos partenaires ou adhérents d’initier leur propre conformité.

Notre accompagnement RGPD vous permet de bénéficier gratuitement d’un Badge à apposer sur vos documents, afin de mettre en évidence votre action et valoriser votre investissement pour le respect de la vie privée.

Opt-on est partenaire de Dastra, la solution numérique de gestion du RGPD la plus performante et facile à prendre en main. Le nombre de comptes est illimité, vous permettant de mettre en place un vrai travail collaboratif autour du RGPD.

Il permet en outre d’évaluer la cybersécurité, le RGAA, la loi Sapin II.

Le logiciel est bien entendu optionnel pour bénéficier de notre accompagnement RGPD annuel.

Comment se déroule notre accompagnement RGPD ?

Notre accompagnement annuel comprend une 1ʳᵉ phase de diagnostic similaire à notre solution d'audit RGPD, puis une phase de gestion du plan d'action.

Phase de découverte

Réaliser un diagnostic permettant d'identifier un plan d'action

Présentation des préconisations

Expliquer et prioriser les tâches à accomplir

Mise en œuvre des mesures

Appliquer les préconisation du DPO

Appui technique du DPO

Disposer de l'accompagnement concret d'un expert

Bilan annuel du DPO

Fournir un bilan des actions et mettre à jour le plan d'action du cycle suivant

Présentation du bilan annuel

Expliquer la mise à jour du plan d'action RGPD

Phase de découverte

Réaliser un diagnostic RGPD permettant d'identifier un plan d'action

Mise en œuvre des mesures

Appliquer les préconisations du DPO

Bilan annuel du DPO

Fournir un bilan des actions et mettre à jour le plan d'action du cycle suivant

Présentation des préconisations

Expliquer et prioriser les tâches à accomplir

Appui technique du DPO

Disposer de l'accompagnement concret d'un expert

Présentation du bilan annuel

Expliquer la mise à jour du plan d'action RGPD

Gestion de projet accompagnement RGPD

La gestion de la conformité RGPD doit être un processus d'amélioration continue. Opt-on recommande la méthode PDCA (Plan-Do-Act-Check).

Méthode d'accompagnement à la conformité RGPD recommandée par Opt-on, permettant l'atteindre la conformité RGPD en respectant les concepts de Privacy by design et privacy by default, protection de la vie privée dès la conception et par défaut

FAQs accompagnement RGPD

La majorité des structures traitent des données à caractère personnel. Il y a de forte chance que vous soyez concernés par le RGPD :

  • les activités de ressources humaines (ex : gestion de la paye),
  • par la relation avec vos fournisseurs (ex : nom et prénom de vos contacts commerciaux),
  • par la gestion des adhérents (ex : adhérents d’association, destinataires de newsletter),
  • par les missions exercées en tant que sous-traitants, etc…

Le régime de déclaration, les formalités à réaliser auprès de la CNIL, n’existe plus.

Vous devez pouvoir prouver votre conformité avec le RGPD par une création de documents divers et variés :

  • registres de traitements,
  • contrats de sous-traitance à jour,
  • politique de sécurité,
  • politique de confidentialité.

Il faut a minima pouvoir attester d’une démarche dynamique, le chantier de mise en conformité pouvant durer plus ou moins longtemps.

Il s’agit du nouveau métier découlant de la nécessité d’organiser la mise en conformité avec le RGPD. L'acronyme reconnu par la CNIL est DPO (Data Protection Officer).

Le DPO est la personne ou l'organisme désigné auprès de la CNIL. Le simple fait nommer une personne à ce poste, sans réaliser la désignation officielle, ne permet pas à un organisme de prétendre "avoir un DPO".

La conformité RGPD prend du temps par l’approche de création documentaire et de contrôle périodique : selon la taille de la structure cela peut représenter un temps plein.

On dit de lui qu'il est le chef d’orchestre de la conformité RGPD, mais attention ce n’est pas un exécutant, c’est un pilote disponible pour conseiller les responsables et aider les employés à créer les preuves de la conformité. Ce n’est pas non plus le sous-traitant des risques liés à la non-conformité, le seul responsable reste le responsable de traitement.

Si vous avez plus de 250 employés, ou si vous êtes un établissement public ou un organisme investi d’une mission de service public, le DPO est obligatoire.

Si vous traitez des données dites « sensibles » (ex : sur la santé, l’appartenance syndicale), ou réalisez des traitements à grande échelle (ex : marketing digital), le DPO est probablement obligatoire également.

Indépendamment du caractère obligatoire, la désignation d'un DPO est de plus en plus recommandée par les autorités.

A priori non, car la conformité RGPD se construit au travers d’une démarche dynamique, et d’une création de documents. Tout cela peut être réalisé par une personne connaissant le sujet, les techniques de la gestion de projet, et avec des outils classiques de bureautique (traitement de texte, tableur). Mais il faut avouer que cela peut rapidement devenir chronophage.

Un logiciel devient pertinent selon la taille de la structure, lorsque la conformité concerne plusieurs responsables de services ou un groupe d’entreprises par exemple. Il favorise le travail collaboratif, l’analyse et le contrôle du chantier RGPD.

Un logiciel dédié peut également être pertinent selon la sensibilité des données traitées, la complexité des traitement de données à caractère personnel, et le nombre de tiers et de sous-traitants recensés. 

Attention à ne pas confondre une solution de sécurité (antivirus ou sauvegarde) et un outil de travail collaboratif dédié au RGPD. Certaines solutions tentent de proposer un mix qui n'apporte qu'une vision partielle et peut créer un risque important (voir la notion de "conflit d'intérêts" ci-dessous).

Cela est même recommandé pour les plus petites structures.

Bien sûr, vous pouvez assumer la charge de travail, mais au détriment de votre cœur de métier.

Vous pouvez également confier cette tâche à l’un de vos employés qui dispose du temps et de la volonté d’apprendre à maîtriser le sujet, vous pourriez même désigner cette personne DPO auprès de la CNIL, mais en prenant soin d'assurer sa formation permanente, et qu’il n’y ait pas de conflit d’intérêt avec ses fonctions courantes.

Opter pour l’externalisation offre souplesse et objectivité.

Pour les organisations publiques, ou les grandes entreprises, le DPO interne est recommandé par Opt-on.

Elle concerne le DPO désigné auprès de la CNIL. Ce poste doit être libre d’agir en toute indépendance : ce ne peut donc pas être le dirigeant, ou tout autre personne occupant certaines fonctions. En effet, le DPO doit être capable de remettre en question certaines orientations afin de conseiller de manière neutre la direction.

Par exemple, le responsable du marketing pourrait être partagé entre son intérêt de développement commercial et les droits des citoyens.

Autre exemple, la sécurité informatique doit être questionnée par le DPO : un prestataire assurant la cybersécurité peut difficilement remettre en question la performance de ses produits de sécurité informatique, il ne devrait donc pas être désigné DPO.

Cette logique devrait s’appliquer également à la personne, ou au prestataire, en charge de la conformité, même s’il n’est pas nécessairement désigné Délégué à la Protection des Données auprès de la CNIL.

Les lignes directrices WP 243 du CEPD, la CNIL européenne, précisent même qu'un avocat offrant des prestations de DPO à un client, ne devrait pas être la même personne en charge de la défense de ce client, devant un tribunal, en cas de litige autour de ces questions. Ce sujet mérite donc toute l'attention des responsables.

Se faire aider par un spécialiste neutre est la meilleure stratégie.

Il organisera la formation et la sensibilisation des membres dirigeants, et apportera à votre structure la capacité de gérer seule par la suite. Mais surtout, il vous permettra de prioriser le chantier de conformité RGPD dès le début, et vous signalera les écarts en cours de route. Vous pourrez rester concentrer sur vos priorités.

Si vous optez pour une mise en conformité RGPD gérée en interne en louant un logiciel, il vous faudra compter le double, voire le triple de temps : temps nécessaire à la compréhension du RGPD et ses subtilités, temps indispensable à la prise en main du logiciel, temps nécessaire à la résolution des points de blocage.

Une question à vous poser : comment faites vous pour la comptabilité ? Si réaliser votre « compta » seul n’est pas votre activité favorite, ne vous lancez pas seul dans ce challenge.

Il semble que certains prestataires annoncent cet argument marketing.

Soyons sérieux, la CNIL ne sanctionnerait pas une organisation en "chantier RGPD". Un contrôle reste possible, mais la mission de la CNIL est de sensibiliser et aider les organisations. Elle ne doit pas pénaliser l'économie.

Notre déontologie ne nous permet pas de faire une telle annonce.

Il semble encore une fois que certains prestataires annoncent des DPO "validés par CNIL".

Cela nous paraît être un abus de langage. Un DPO peut être certifié par un organisme indépendant, qui a lui-même obtenu l'agrément de la CNIL pour faire passer des examens aux personnes. Le DPO n'est pas directement reconnu compétent par la CNIL.

Par ailleurs, une certification est valable trois ans, et peut être vérifiée facilement auprès de l'organisme certificateur.

 

Aller au contenu principal