Mis en place le 25 mai 2018, le RGPD (Règlement général sur la protection des données) est entré dans le quotidien des entreprises et des utilisateurs.

Cette loi, qui encadre le traitement des données personnelles des citoyens de l’Union européenne, et qui s’inscrit également dans le droit français via la Loi française Informatique et Libertés de 1978, a changé définitivement la manière dont sont exploitées les données personnelles.

Dans cet article, nous allons parler de l’obligation pour une structure de disposer d’un DPO, et des différentes actions à mettre en œuvre, via l’intermédiaire du DPO ou des autres acteurs de l’entreprise.

RGPD : qui a besoin d’un DPO ?

En principe, le RGPD s’applique à toutes les entreprises, mais pas de la même façon.

Pour mettre en œuvre cette nouvelle réglementation, il a été pensé une fonction spéciale : le “Data Protection Officer”, appelé en français “Délégué à la protection des données”. À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles.

Selon la présidente de la CNIL, 80 000 structures auraient besoin de recruter un DPO.

Pour qui le DPO est-il obligatoire ?

Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire :

– les organismes et les entreprises publiques,
– les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.

Plus exactement, selon l’article 37 du RGPD, il est nécessaire de recruter un DPO dans les cas suivants :

  • lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
  • lorsqu’il s’agit d’un un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Pour savoir si vous êtes concernés par l’un de cas, il faut se poser les bonnes questions :

Le traitement des données personnelles fait-il de l’activité de base de votre structure ?

Par la nature même de votre activité, il faut entendre les produits ou services que vous délivrez, par opposition aux fonctions support de l’entreprise, telles que la gestion de la paie par exemple.

Vous êtes donc vraisemblablement dans l’obligation de recruter un DPO si la nature de votre activité concerne spécifiquement la collecte, la gestion ou l’exploitation de données personnelles.

Le traitement des données personnelles est-il réalisé à grande échelle ?

Il n’est pas évident de définir à partir de quel volume de données on peut parler de grande échelle. De plus, il ne s’agit pas que de volume mais également de durée ou d’étendue géographique. Cependant il est possible de deviner que des structures tels que des fournisseurs d’accès ou des moteurs de recherche sont concernés par cette appellation “traitement à grande échelle”.

Pour ce qui est des PME ou des petites structures, cela devient beaucoup moins évident et à déterminer au cas par cas.

Le traitement des données personnelles implique-t-il un suivi régulier et systématique ?

Il est facile de définir ce qu’est un suivi régulier, ce qui implique une notion de fréquence et de répétition. Par contre il est beaucoup moins évident de se prononcer sur le concept de “suivi systématique”. On peut considérer qu’il s’agit d’un suivi effectué via un système (informatique par exemple) ou via une méthode spécifique.

Pas concerné ? Le RGPD s’applique tout de même

DPO non obligatoire

Votre entreprise ne relève pas des spécificités évoquées plus haut ? Vous n’êtes probablement pas obligé d’embaucher un DPO. Vous pouvez toutefois le faire volontairement, si votre activité le nécessite.

Désignation d’un pilote RGPD

Même si n’avez pas besoin de disposer d’un DPO en interne, mais il vous est tout de même nécessaire, pour respecter le RGPD, de désigner un pilote pour la gestion des données personnelles au sein de votre entreprise.

Ceci dit, il peut s’agir de l’un de vos collaborateurs si vous pensez que ce dernier est à même d’effectuer cette tâche avec efficacité, ou bien il peut s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / où d’un cabinet d’avocats pour la gestion juridique.

Enfin, sachez que pour respecter la réglementation du RGPD, il vous faut également :
cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements
– au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
– travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
documenter toutes ces actions de façon à être à même de prouver aux organismes régulateur que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement.

Audit de conformité RGPD

Chez Ivision, nous avons mis en place un partenariat avec le cabinet d’avocats Marvell afin de vous proposer :

  • la réalisation d’audits de conformité pour vous permettre d’évaluer les mesures concrètes à appliquer au sein de votre entreprise pour respecter le RGPD,
  • un accompagnement sur la mise en place des différentes actions préconisées.

Nous proposons 2 types d’audit de conformité afin de répondre aux besoins des structures pour lesquels le RGPD et sa mise en application n’est pas critique, mais également pour les structures qui ont besoin d’un accompagnement plus pointu. Pour en savoir plus, rendez-vous sur notre page audits de conformité RGPD.