Vous entrez dans un espace virtuel nous permettant de vous présenter nos activités, et vous offrant la possibilité d'entrer en contact avec notre accueil commercial dans le cadre d'une relation BtoB.
Notre site collecte des informations sur votre visite et utilise des modules strictement nécessaires. Ces informations ne nous permettent pas d'identifier les visiteurs et d'utiliser les données à des fins commerciales.
Afin de vous proposez d'entrer en contact avec nous, et des réaliser des statistiques plus précises, nous devons vous demander l'autorisation pour utiliser des modules complémentaires.
Il s'agit de données vous assurant un affichage correct des pages selon votre appareil, permettant d'assurer la sécurité du notre site, et la réalisation de statistiques anonymes sans suivi individualisé.
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Ils s'agit de données nous permettant de réaliser des analyses statistiques anonymes plus précises et notamment l'ordre des pages qu'un visiteur consulte
Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Il s'agit des données de statistiques individuelles précédentes et des informations que vous acceptez de communiquer en utilisant les moyens de contact engendrant un transfert des données à notre prestataire hors Europe (CRM Hubspot, utilisant les police Google (fonts).
Délégué à la protection des données – DPO
Tout savoir sur le
Délégué à la protection des données – DPO
C'est quoi le métier de délégué à la protection des données, le DPO ?? Vous allez tout savoir sur ce nouveau métier passionnant issu du RGPD !
Avant de commencer, réglons un sujet qui ne fait plus débat : on dit DPO, et pas DPD ! Ce n’est pas nous qui le disons, c’est la CNIL elle-même.
Ceci étant dit, allons-y 🙂
I - Le DPO : Chef d'orchestre de la conformité
Le Règlement Général sur la Protection des Données (RGPD) a placé le Délégué à la Protection des Données (DPO) au cœur des enjeux liés à la protection de la vie privée. Le DPO est un expert chargé de veiller à ce qu’une organisation traite les données personnelles de manière conforme à la loi.
Le Délégué à la Protection des Données – DPO est souvent qualifié de « chef d’orchestre » car il assume un rôle central dans la protection des données personnelles.
Voici en quoi il assure cette fonction :
le DPO possède une expertise approfondie du RGPD et des lois nationales en matière de protection des données. Ainsi, il est capable d’interpréter les réglementations complexes et de les transposer au contexte spécifique de l’organisation.
Il conseille la direction et les différents services de l’organisation sur toutes les questions liées à la protection des données. Il les aide à mettre en place des mesures techniques et organisationnelles pour assurer la conformité.
Le délégué à la protection des données joue un rôle essentiel dans la sensibilisation des collaborateurs aux enjeux de la protection des données. Il organise des formations et des campagnes de communication pour promouvoir une culture de la protection des données.
Il met en place des mécanismes de contrôle pour vérifier que les traitements de données sont conformes au RGPD. Il effectue des audits RGPD et suit l’évolution de la législation.
En cas de violation de données, le DPO est le premier interlocuteur. Il coordonne la gestion de l’incident, informe l’autorité (la CNIL) et recommande les mesures nécessaires pour limiter les conséquences.
Le DPO est l’interlocuteur privilégié des autorités de contrôle. Il répond à leurs demandes et les accompagne dans leurs contrôles.
En outre, le DPO permet également de :
Il s’assure que les droits des personnes concernées sont respectés (droit d’accès, de rectification, d’effacement, etc.).
Il identifie et évalue les risques liés au traitement des données et met en place des mesures pour les maîtriser.
En résumé, le DPO est un véritable protecteur des données personnelles au sein de l’organisation. Il est l’assurance que les informations sensibles sont traitées de manière sécurisée et conforme à la réglementation.
En outre, il apporte une plus-value non négligeable : l’acculturation à la protection de l’information en général. Grâce à lui, une organisation est mieux équipée pour protéger l’ensemble de son patrimoine informationnel.
II - Quelles compétences doit avoir un délégué à la protection des données DPO ?
Un DPO doit posséder un ensemble de compétences variées pour mener à bien ses missions. Ces compétences peuvent être regroupées en plusieurs catégories.
Compétences techniques
Le DPO doit comprendre les différents types de traitements de données (collecte, stockage, utilisation, etc.) et les technologies associées.
Il est important de maîtriser les outils et les logiciels utilisés pour gérer les données personnelles (CRM, ERP, etc.).
Le DPO doit avoir des connaissances en matière de sécurité informatique pour identifier les vulnérabilités et mettre en place des mesures de protection adaptées.
Compétences juridiques
Le délégué à la protection des données – DPO doit avoir une connaissance approfondie du Règlement Général sur la Protection des Données (RGPD) ainsi que des lois nationales en vigueur en matière de protection des données.
Il est important de connaître les autres réglementations qui peuvent s’appliquer, telles que la directive e-Privacy ou les lois sectorielles (Code de Santé Publique, Code du Tourisme, etc.).
Le DPO doit être capable d’interpréter les textes de loi et de les appliquer à des situations concrètes.
Compétences relationnelles et de communication
Le DPO doit être capable de communiquer efficacement avec des publics variés (direction, collaborateurs, autorités de contrôle, personnes concernées, etc.).
Il doit pouvoir expliquer des concepts juridiques complexes de manière simple et accessible.
Le délégué à la protection des données DPO doit être capable de négocier avec les différents acteurs de l’entreprise, afin de trouver des solutions équilibrées.
Autres compétences
Le DPO doit être capable de gérer de nombreux projets en parallèle et de respecter les délais.
Il doit être capable d’analyser les risques liés au traitement des données et de proposer des solutions adaptées.
Le cadre réglementaire de la protection des données est en constante évolution. Le délégué à la protection des données doit être capable de s’adapter rapidement aux nouveaux enjeux.
Le délégué à la protection des données doit être facilement joignable, dans le but de répondre rapidement aux besoins des collaborateurs de l’organisation. En outre, les délais imposés quant aux demandes des citoyens, ou aux violations de données représentent un enjeu important.
En résumé, le délégué à al protection des données DPO est un profil polyvalent qui allie des compétences juridiques, techniques et relationnelles. Il est le garant de la mise en conformité RGPD de l’organisation. En tant pilote, ou chef d’orchestre, il joue un rôle essentiel dans la protection de la vie privée des individus.
Quelles sont les missions délégué à la protection des données DPO ?
Conseil et Sensibilisation
Le rôle du DPO est crucial :
En bref, il est le premier élément de la protection de vos données au sein de l’organisation.
Le Délégué à la Protection des Données (DPO) joue un rôle central dans la mise en conformité d’une organisation avec le RGPD. Ses missions sont multiples et couvrent l’ensemble du cycle de vie des données personnelles.
Voici une décomposition détaillée des missions pouvant lui être confiées :
Le DPO doit informer et conseiller l’ensemble des acteurs de l’entreprise (direction, employés, sous-traitants) sur les obligations légales, ainsi que sur les évolutions technologiques, en matière de traitement de données. Grâce à sa simple présence, le DPO participe au respect de Privacy-by-design.
Il met en place des actions de sensibilisation, ainsi que des formations, pour promouvoir une culture de la protection des données au sein de l’entreprise. Les formations doivent être coconstruites avec le service RH afin d’être intégrées au plan de formation annuel.
Mise en œuvre et suivi de la conformité
Le DPO contribue à l’élaboration et à la mise à jour des politiques et procédures de l’entreprise en matière de protection des données.
Il pilote ou fait réaliser des analyses d’impact sur la protection des données (PIA) pour évaluer les risques liés aux traitements de données. Cette mission de chef de projet, doit être réalisée avec les responsables opérationnels des traitements.
Il met en place des mécanismes de suivi pour vérifier que les traitements de données sont conformes à la réglementation et aux politiques internes de l’entreprise.
Gestion des incidents
Le délégué doit être informé des violations de données, afin de notifier l’autorité compétente (CNIL) dans les délais impartis.
Il coordonne la gestion de crise en cas de violation de données, mais aussi recommande des mesures nécessaires pour limiter les conséquences.
Collaboration avec les autorités de contrôle
Le DPO est le point de contact privilégié de l’entreprise avec l’autorité de contrôle.
Il coopère avec les autorités de contrôle dans le cadre de leurs missions, telles que les contrôles sur site ou à distance. À ce titre, il doit organiser la gestion des contrôles éventuels, dans le but de faciliter les missions de la CNIL, en tenant compte de son absence physique du site.
Autres missions du DPO
Le délégué à la protection des données doit piloter les réponses aux demandes des personnes concernées (accès, rectification, effacement, etc.) dans les délais impartis.
II s’assure que les sous-traitants respectent les obligations légales en matière de protection des données.
En résumé, les missions du DPO confirment sa position de véritable chef d’orchestre. Il est responsable du suivi de la mise en conformité. En revanche, il n’est pas responsable légalement des non-conformités.
III - Comment devenir DPO ?
Bien qu’il n’y ait pas de diplôme spécifique requis, le DPO doit posséder des connaissances solides en droit, en informatique et en gestion des risques. Il s’agit d’un véritable « mouton à cinq pattes ». De plus en plus, les organisations recherchent des profils certifiés par la CNIL, attestant d’une expertise approfondie en matière de protection des données.
La durée d’une formation pour devenir DPO peut varier considérablement.
Il n’existe pas de durée standard imposée par la réglementation. La durée de la formation dépendra de plusieurs facteurs :
Une personne ayant déjà des connaissances en droit et en informatique aura besoin d’une formation moins longue qu’une personne débutante.
Certaines formations se concentrent sur les fondamentaux du RGPD, tandis que d’autres abordent des sujets plus spécifiques (par exemple, la protection des données dans le secteur de la santé).
Les formations peuvent être dispensées en présentiel, en ligne ou sous forme de blended learning (mixe des deux). Les formations en ligne sont généralement plus flexibles en termes de durée.
Certaines certifications exigent un nombre minimum d’heures de formation.
En général, on peut s’attendre à ce qu’une formation complète pour devenir DPO dure entre 35 et 100 heures.
Pourquoi une telle variation ?
Trente-cinq heures, c’est le minimum requis pour prétendre à la certification AFNOR (par exemple). Ces formations sont souvent intensives et axées sur les connaissances essentielles du RGPD.
Les formations plus longues permettent d’approfondir les connaissances, de traiter des cas pratiques et d’acquérir une expertise plus spécialisée.
Il est important de noter que la durée d’une formation n’est pas le seul critère à prendre en compte lors du choix d’une formation. Il est également essentiel de vérifier :
Le contenu de la formation : est-il adapté à vos besoins et à vos objectifs ?
Les méthodes pédagogiques : les méthodes utilisées favorisent-elles l’apprentissage et la mémorisation ?
Les formateurs : les formateurs sont-ils des experts reconnus dans le domaine de la protection des données ?
La certification en elle-même : la formation débouche-t-elle sur une certification reconnue par la CNIL ?
En conclusion, la durée d’une formation DPO est variable et dépend de nombreux facteurs. Il est recommandé de comparer les différentes offres de formation disponibles et de choisir celle qui correspond le mieux à votre profil et à vos objectifs.
IV - Pourquoi devenir DPO ?
Le métier de DPO est en plein essor. Il offre la possibilité de travailler au cœur des enjeux numériques, de contribuer à la protection des droits fondamentaux et de développer une expertise reconnue.
Le Délégué à la protection des données DPO est un acteur clé dans le paysage numérique actuel. Son rôle est essentiel pour garantir la confiance des utilisateurs et le respect de la réglementation.
Le métier de délégué à la protection des données, bien qu’exigeant, présente de nombreux aspects passionnants. Voici quelques raisons pour lesquelles ce métier peut être particulièrement stimulant :
Le domaine de la protection des données est en constante évolution, avec de nouvelles technologies et de nouveaux enjeux qui émergent régulièrement. Les DPO sont ainsi amenés à se former en continu et à explorer de nouveaux horizons.
Le DPO joue un rôle essentiel dans la protection des données personnelles, un enjeu sociétal majeur. En assurant la conformité au RGPD, il contribue à un monde numérique plus sûr et plus respectueux de la vie privée.
Les avis formulés par un DPO ont un impact direct sur la manière dont les données sont traitées au sein de l’entreprise. Il peut ainsi contribuer à améliorer les processus internes et à renforcer la confiance des clients, mais aussi des collaborateurs.
Le métier de délégué requiert un ensemble de compétences variées, allant du juridique au technique, en passant par la communication. C’est une opportunité de développer un profil polyvalent et de se perfectionner dans différents domaines.
Le DPO est un interlocuteur privilégié de la direction et des différents services de l’organisation. Il a une vision globale de l’organisation et peut contribuer à la prise de décisions stratégiques.
Par ailleurs, c’est un métier passionnant pour ceux qui souhaitent contribuer à un monde numérique plus responsable et qui aiment relever des défis.
Toutefois, leur mission, bien que noble, est souvent confrontée à plusieurs défis.
V - Les principales difficultés rencontrées par les DPO
Depuis 2018, nombre de DPO internes, comme des DPO externalisés, ont pu exprimer leur plaisir à faire ce métier. Mais force est de constater, au regard des études et sondages réalisés, que les DPO rencontrent plusieurs difficultés à exercer leurs missions.
Voici une liste non exhaustive de difficultés exprimées par les DPO internes et externes.
Le manque de ressources
Les DPO sont souvent seuls ou en petit nombre au sein de l’organisation, ce qui peut rendre difficile la gestion d’une charge de travail importante.
Les budgets alloués à la protection des données sont parfois limités, ce qui peut contraindre les DPO dans leurs actions.
La complexité du RGPD
Le cadre réglementaire évolue rapidement, ce qui oblige les délégués à la protection des données à se tenir constamment informés des nouveautés. Considérons, par exemple, les textes européens pour encadrer les services et marchés digitaux (DGA, DMA, DSA)
Les interprétations du RGPD peuvent varier d’un secteur à l’autre et d’un pays à l’autre, ce qui complexifie la mise en œuvre.
La résistance au changement
Il peut être difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. Pire encore dans une structure dont la raison d’être repose sur l’exploitation des données (marketing, vente en ligne, etc).
La protection des données personnelles peut être perçue comme un frein à l’activité, ce qui peut générer des résistances.
La technicité des traitements de données
Les technologies évoluent rapidement, ce qui rend complexe la mise en œuvre de mesures de sécurité adaptées. C’est notamment le cas dans les usages du Cloud ou de l’Intelligence Artificielle.
Les traitements de données peuvent être très complexes, notamment dans les grandes entreprises, ce qui nécessite une expertise technique approfondie.
La coordination entre les différents services
La collaboration inter-services peut présenter un frein dans la mise en conformité RGPD. Le DPO doit collaborer avec de nombreux services (informatique, juridique, marketing, etc.), ce qui nécessite de bonnes compétences en communication et en coordination.
La responsabilité et la pression
La pression des résultats, ou le risque de perdre sa mission, peuvent peser sur le DPO au quotidien, de telle manière que le DPO doit trouver un équilibre entre la protection des données et les objectifs économiques de l’entreprise. Sans cet équilibre, des DPO internes se sont retrouvés isolés au sein même de leur organisation.
Le privacy washing
Citons enfin un autre frein aux missions du DPO. Certaines organisations se sont dotées d’un DPO, du fait de leur obligation, afin d’éviter les sanctions.
Mais dans certains cas, le manque de ressources, que nous citions plus avant, est le résultat d’une mauvaise volonté des directions. Certains délégués sont, pour ainsi dire, isolés volontairement.
Pourquoi faire appel à un délégué à la protection des données DPO externalisé ?
L’externalisation de la fonction de délégué à la protection des données est une pratique de plus en plus courante, et ce, pour plusieurs raisons.
Un vision experte immédiatement disponible
Faire appel à un DPO externe, permet à une organisation d’obtenir des conseils très rapidement. En effet, un DPO issu des employés devra être formé, puis monter en compétence. Dans ce cas, c’est toute la mise en conformité RGPD qui est impactée.
De plus, la plupart des DPO externes sont certifiés. De toute évidence, le niveau d’expertise d’un DPO certifié est sans pareil.
Disposer d’un DPO externe certifié est en quelque sorte le meilleur Label RGPD que vous pouvez espérer. Conformément aux règles de l’art, une organisation ne doit pas sélectionner un DPO externalisé non certifié, quelle que soit la formation ou le diplôme. Bien entendu, il va de soi que l’expertise du DPO est conditionnée par son expérience du terrain.
Expériences multiples et variées
Chez un DPO externalisé, l’expérience est plus importante que les diplômes obtenus. Les formations théoriques ne peuvent pas proposer tous les cas pratiques issus des besoins spécifiques du terrain. C’est pourquoi, opter pour un DPO externalisé, c’est la garantie de bénéficier d’un consultant, avec une expérience riche et variée.
De prime abord, nous pourrions imaginer qu’il est préférable de choisir un DPO externe selon sa spécialité. Par exemple, DPO spécialisé en santé, DPO externalisé spécialiste du tourisme, etc. Malheureusement, cette erreur est encore fréquente. En vérité, il est recommandé d’opter pour DPO bénéficiant d’une réelle expérience. Par expérience, nous ne parlons pas celle qui permet de répondre aux mêmes questions régulièrement. Nous entendons par « expérience du DPO externe », la capacité à se confronter à de nouvelles questions, à sortir de sa zone de confort, afin de relever un challenge et apporter la meilleure réponse à son client.
Ne vous y trompez pas, la spécialisation d’un DPO externe, n’est que la garantie d’une standardisation du conseil pour une plus grande rentabilité du cabinet de DPO. Les conseils sont ainsi les mêmes pour tous, sans personnalisation.
Absence de conflit d'intérêt
Externaliser la fonction de délégué à la protection des données DPO permet en outre de s’acquitter d’une de l’obligation de neutralité du DPO. En effet, la personne physique, ou morale, désignée auprès de la CNIL, doit être détachée du tout potentiel conflit d’intérêt. Cela veut dire qu’elle ne doit pas être influencée dans les avis qu’elle rend aux directions.
Ceci étant, un DPO interne est susceptible d’être influencé par ses ambitions en termes d’évolution, ce qui pourrait l’amener à pencher du côté de l’intérêt de l’organisation, au détriment de la conformité ou des droits et libertés.
De manière générale, le DPO interne ne peut pas être un membre de la direction, ou toute personne qui détermine des finalités de traitements, mais aussi des moyens. Cela signifie, qu’un employé qui participerait à un choix d’investissement lié à un traitement de données, ne doit pas être la même personne chargée d’émettre un avis sur l’investissement au regard du RGPD.
Qu'est-ce que les conflits d'intérêt du DPO externe ?
Mais attention, externaliser le DPO ne veut pas dire neutralité assurée dans tous les cas. En effet, il y a des DPO externes qui peuvent présenter des conflits d’intérêt importants. C’est notamment le cas des entreprises de distribution de logiciels, ou des fournisseurs de cybersécurité. En théorie par exemple, un infogéreur ne peut pas proposer de solution de DPO, sauf à proposer deux relations contractuelles distinctes, dans le but de garantir la neutralité du DPO.
Attention, c’est aussi le cas des avocats. Comme le recommande la CNIL, un avocat désigné DPO, « ne peut pas représenter cet organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données personnelles. » Cette position de la CNIL est bonne à savoir. Compte tenu du fait que beaucoup de responsables imaginent, en faisant le choix d’un avocat comme DPO, parer à toute éventualité, et maîtriser leur budget. Un avocat DPO doit donc préciser cette situation dans le contrat qu’il propose.
Flexibilité et maîtrise budgetaire
Un DPO externe peut adapter ses prestations en fonction des besoins spécifiques de l’organisation, de sa taille et de son secteur d’activité. De plus, il peut renforcer ses interventions lors de projets particuliers (lancement d’un nouveau produit, fusion, etc.) ou en cas de crise.
Bien entendu, cette flexibilité doit être précisée avant la désignation du DPO externe. En effet, certains DPO externe en franchises annoncent des tarifs compétitifs de prime abord, mais présentent des coûts RGPD cachés.
Chez Opt-on nous y mettons un point d’honneur, nos tarifs conformité RGPD sont transparents dès le début : tout est compris si vous le souhaitez.
Coût de la mise en conformité RGPD avec un DPO externe
Cette question est compliquée. Depuis 2018, de multiples articles ont voulu donner des repaires, mais force est de constater que les montants étaient largement exagérés. En effet, les revues juridiques, les avocats ont annoncé que le coût de la mise en conformité serait en moyenne de 25 000 € par an ! Vous avez bien lu 🙂
Alors qu’il est évident que cette moyenne est plus rédhibitoire que réellement pertinente. Le montant va dépendre de nombreux critères :
Un audit ponctuel ou un accompagnement annuel ne représentent pas le même équivalent jour/homme.
Le domaine de l’édition de logiciel en santé est autrement complexe que le commerce en ligne par exemple.
Le DPO est avant tout un enquêteur, surtout au début de sa mission. Le nombre de ses interlocuteurs va influencer le temps nécessaire à leur expliquer les concepts de bases, à la formation.
En résumé, le rôle du délégué à la protection des données DPO est exigeant et requiert une grande polyvalence. Pour surmonter ces défis, les DPO doivent bénéficier d’un soutien fort de la direction, d’une formation continue et d’outils adaptés.
En conclusion, nous ne pouvons que recommander aux DPO internes d’intégrer des réseaux de professionnels de la protection des données. Ces réseaux permettent de rompre l’isolement, ou d’éviter qu’il apparaisse.
Recent Post
Thèmes
Categories