Une majeure partie des entreprises n’auront pas finalisé leur dispositif de RGPD avant son application le 25 mai prochain. La principale raison de ce retard semble être le manque de connaissances, mais aussi et surtout, le manque de compétences.

Dans cet article, nous allons parler de l’obligation pour une structure de disposer d’un DPO, et des différentes actions à mettre en oeuvre, via l’intermédiaire du DPO ou des autres acteurs de l’entreprise.

RGPD : qui à besoin d’un DPO ?

En principe, le RGPD s’applique à toutes les entreprises mais pas de la même façon. Pour mettre en oeuvre cette nouvelle réglementation, il a été pensé une fonction spéciale : le “Data Protection Officer”, appelé en français “Délégué à la protection des données”. À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles.
Selon la présidente de la CNIL, 80000 structures auraient besoin de recruter un DPO.

Pour qui le DPO est-il obligatoire ?

Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire : D’un côté, les organismes et les entreprises publiques, et de l’autre les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.

Plus exactement, selon l’article 37 du RGPD, il est nécessaire de recruter un DPO dans les cas suivants :

  • lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
  • lorsqu’il s’agit d’un un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Pour savoir si vous êtes concernés par l’un de cas, il faut se poser les bonnes questions :

Tout d’abord, le traitement des données personnelles fait-il de l’activité de base de votre structure ?

Par la nature même de votre activité, il faut entendre les produits ou services que vous délivrez. il ne s’agit donc pas des fonctions support de l’entreprise, telles que la gestion de la paie par exemple.

Ce traitement est-il réalisé à grande échelle ?

Il n’est pas évident de définir à partir de quel volume de données on peut parler de grande échelle. De plus, il ne s’agit pas que de volume mais également de durée ou d’étendue géographique. Cependant il est possible de deviner que des structures tels que des fournisseurs d’accès ou des moteurs de recherche sont indubitablement concernés. Pour ce qui est des PME ou des petites structures, cela devient beaucoup moins évident, à déterminer au cas par cas.

Ce traitement implique-t-il un suivi régulier et systématique ?

La notion de régularité est une notion simple, qui implique une fréquence du phénomène, et qui est facile à mesure. Par contre il est beaucoup moins évident de se prononcer sur le concept de “suivi systématique”. On peut considérer qu’il s’agit d’un suivi effectué via un système (informatique par exemple) ou une méthode spécifique.

Pas concerné ? Le RGPD s’applique tout de même

Si la gestion des données personnelles au sein de votre entreprise ne relève pas de ses spécificités, dans ce cas, vous n’êtes peut-être pas tenu d’embaucher un DPO. Cela ne veut pas dire pour autant que vous échappez à la réglementation du RGPD. Il vous faut donc bon gré mal gré mettre en œuvre les applications du règlement, et ce même si vous ne disposez pas forcément des compétences au sein de votre structure.

Vous n’avez pas donc pas besoin de disposer d’un DPO en interne, mais il est tout de même nécessaire de désigner un pilote pour la gestion des données personnelles au sein de votre entreprise. Ceci dit, il peut s’agir de l’un de vos collaborateurs si vous pensez que ce dernier est à même d’effectuer cette tâche avec efficacité, ou bien il peut s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / où d’un cabinet d’avocats pour la gestion juridique.

Chez Ivision, nous avons mis en place un partenariat avec le cabinet d’avocats Marvell afin de vous proposer :

  • la réalisation d’audits de conformité pour vous permettre d’évaluer les mesures concrètes à appliquer au sein de votre entreprise pour respecter le RGPD,
  • un accompagnement sur la mise en place des différentes actions préconisées.

Nous proposons 2 types d’audit de conformité afin de répondre aux besoins des structures pour lesquels le RGPD et sa mise en application n’est pas critique, mais également pour les structures qui ont besoin d’un accompagnement plus pointu. Pour en savoir plus, rendez-vous sur notre page audits de conformité.

Enfin, sachez que pour respecter la réglementation du RGPD, il vous faut également :
cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements
– au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
– travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
documenter toutes ces actions de façon à être à même de prouver aux organismes régulateur que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement.