UN ACCOMPAGNEMENT ADAPTÉ ET SIMPLIFIÉ POUR LA CONFORMITÉ RGPD
Analyse des non conformités constatées,
Note de synthèse incluant :
- Plan d’action et rétroplaning (classification des actions par risques)
- Liste de la documentation et des process à créer et à mettre en place pour justifier de la conformité conformément au principe d’accountability.
Le RGPD a induit un changement de gouvernance des données à caractère personnel. Il introduit un nouvel acteur, « chef d’orchestre des données personnelles » : le délégué à la protection des données « DPD » (Data Privacy Officer « DPO » en anglais).
Sa désignation n’est pas toujours obligatoire mais toujours fortement conseillée Parmi les missions du DPO :
- Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
- Contrôler le respect du règlement et du droit national en matière de protection des données
- Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci
Nos services incluent :
- Des Solutions Logiciels RGPD pour la construction du Registre,
- Des recommandations opérationnelles sur les bonnes pratiques,
- Le contrôle de la licéité des traitements, de la proportionnalité et de la pertinence des données collectée,
- L’accompagnement à la description des mesures techniques et organisationnelles dans le registre,
- La vérification des transferts hors UE/recommandations.
Chacun doit donc documenter sa conformité à la réglementation
La documentation comprend en principe notamment :
- Politique interne de confidentialité / Politique de protection des données des salariés/ Politique de confidentialité/ Politique ;
- Note d’information des salariés ;
- Procédure de validation des traitements ;
- Procédure interne de décision et de méthodologie de l’analyse d’impact ;
- Procédure de gestion des consentements ;
- Procédure de gestion des demandes d’exercice des droits ;
- Procédure relative au Privacy by design et by default ;
- Procédure de gestion, détection et notification des violations de données ;
- Procédure relative au choix des partenaires ;
- Politique de conservation des données/ gestion des données ;
- Politique d’accès aux données ;
- Politique de sécurité des données ;
- Charte informatique ;
- Formulaire de collecte des données personnelles comportant les mentions obligatoires ; et
- Charte relative aux cookies et autres traceurs qui seraient utilisés par le site Web.
- Nous pouvons réaliser Audit sécuritaire avancé du SI et faire des recommandations adaptées ;
- Nous pouvons vous accompagner pour la réalisation d’une Analyse d’impact lorsque celle-ci est nécessaire ;
Nous pouvons également vous accompagner pour respecter le Privacy by Design lors de vos nouveaux projets :
- Participation du DPO externe aux différentes réunions d’étapes du projet et recommandations ;
- Vérification de la bonne implémentation des recommandations faites, validation d’étapes et finale.
- Les maîtres mots sont efficacité et interactivité.
- Nos formations offriront aux participants une maîtrise opérationnelle pour l’exercice de leurs missions quotidiennes.
- Nos ateliers visant à impliquer les participants et à favoriser les échanges, ils n’excèdent jamais 12 personnes apprenantes.
- Nos supports de formation sont conçus pour être complets simples et pratiques.
- La Méthodologie de ces ateliers consiste à alterner les notions théoriques et pratiques d’une part et des tests d’acquisition d’autre part.
- A Paris, nos formations peuvent être dispensées chez vous comme chez nous.
- Des Formations en lignes sont également possibles.
Pourquoi faire le choix d’un DPO externe
Même en dehors de toute obligation réglementaire, le recours à un DPO externe offre de multiples avantages et garanties :
Le DPO externe est un spécialiste qualifié qui traite quotidiennement des sujets liés aux enjeux de la protection des données personnelles au sein de divers secteurs d’activités. Il dispose ainsi de compétences en droit, en sécurité des systèmes d’informations, en management et gouvernance des données.
Comme le précise l’article 38.6 du RGPD, Le Délégué à la protection des données ou Data Protection Officer doit être indépendant dans l’exercice de ses missions. « le DPO n’effectue pas de tâches et de missions qui puissent entrer en conflit d’intérêt avec sa qualité de Data Protection Officer ».
Il peut être extrêmement complexe pour un DPO interne de présenter les garanties d’indépendance voulues par la réglementation. Le lien de subordination se prête mal à l’indépendance et à l’absence de conflit d’intérêts avec les autres fonctions que le DPO est susceptible d’exercer en Interne. Le DPO pourrait alors être enclin à prioriser d’autres impératifs (business, organisationnels, etc.) que ceux liés à la protection des données.
Le G29 dans ses Guidelines a d’ailleurs souligné que certains postes stratégique ou de haute fonction hierarchique (Directeur marketing, …) ne devraient pas pouvoir être nommés DPO compte-tenu de cette problématique de conflit d’intérêt.
La nomination d’un DPO externe écarte le risque de conflit d’intérêt et offre une plus grande indépendance dans l’appréciation de l’usage qui est fait des données traitées par l’organisme.
Le DPO est tenu au secret professionnel et à la confidentialité.
L’article 38.8 du RGPD stipule : « Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. »
Les avantages du DPO externe
- Améliorer son niveau de maturité dans la mise en œuvre de la règlementation relative à la protection des données et élever son niveau de conformité en matière de traitement de données personnelles comme de mise en oeuvre de mesures de sécurité. La CNIL recommande d’ailleurs la désignation du DPO quand bien même elle ne serait pas obligatoire.
La conformité RGPD est un atout pour établir et consolider la confiance de ses clients prospects comme de ses partenaires.
Elle a vocation à s’imposer comme un impératif Business pour les prestataires de services désireux de gagner ou conserver leurs clients.
- Réduire et maitriser ses coûts. Le coût d’un DPO externe est bien inférieur au coût salarial d’un DPO interne qui se consacrerait à plein temps à la même activité.
Selon l’AFCDP le salaire moyen d’un DPO expérimenté s’élève en moyenne à 80K€/an auxquel s’ajoute évidemment les charges patronales. ..
Les coûts investis dans la mise en conformité seront toujours inférieurs aux risques que peut présenter un non-respect de la réglementation en matière de traitement de données personnelles : risques important d’image et d’amendes. Mieux vaut donc investir dans la bonne conformité de ses activités plutôt que de porter un risque de non-conformité pour traitement illicite de données personnelles et/ou manque de sécurisation de ceux-ci.