Conseils au DPO pour gérer la mise en conformité d’une entreprise au RGPD
Le RGPD vient chambouler les pratiques des entreprises en matière de traitement de données. Parmi les nouveaux changements qui s’imposent, l’obligation pour certaines structures de désigner un DPO (Délégué à la Protection des Données). Il a pour rôle principal de superviser la conformité de l’entreprise aux nouvelles normes imposées par le RGPD. Et pour mener à bien ses missions, il doit s’aider d’une solution de gouvernance RGPD.
En utilisant un logiciel RGPD
Pour permettre au DPO de mener à bien ses missions, il faut d’abord lui procurer les bons outils de travail, en l’occurrence un logiciel RGPD. L’utilisation d’un logiciel va faciliter l’accomplissement de ses missions : tenue du registre des traitements, contrôle des accès, évaluation régulière de l’efficacité des mesures de conformité mises en place, cartographie des traitements, réalisation de bilan ou de rapport d’état, suivi des droits des personnes concernées, études d’impact sur la vie privée, notification de violations de données…
Pour tout dire, un logiciel RGPD a été à la base conçu pour aider le DPO et son réseau ‘privacy’ à mener à bien ses missions. Pour rappel, la désignation d’un DPO s’inscrit dans une démarche pour le respect des 3 grands principes du RGPD : Accountability, Privacy by design, Privacy by default. La désignation d’un DPO s’inscrit dans la logique de responsabilisation que veut mettre en place le RGPD.
Informer et conseiller les différents acteurs de l’entreprise
L’une des plus importantes mission du DPO au sein de l’entreprise est d’informer, conseiller et assister tous les collaborateurs de l’entreprise sur des questions touchant au domaine de la protection des données. En effet, la mise en conformité n’est pas l’affaire d’une seule personne. C’est une démarche collective nécessitant la contribution de tous.
Dans cette optique, il appartient au DPO de réaliser des formations régulières pour sensibiliser le personnel aux bonnes pratiques à observer pour optimiser la protection des données, briffer les dirigeants sur les écarts encore existants entre les mesures de protection déjà mises en place par l’entreprise et les normes du RGPD. Il faut comprendre que la mise en conformité avec le RGPD nécessite un travail de longue haleine. Les mesures de conformité mises en place doivent être régulièrement mises à jour pour s’adapter aux nouvelles technologies et à l’évolution des traitements.
Assurer la relation de l’entreprise avec l’autorité de contrôle
À part cela, le DPO gère également la mise en conformité de l’entreprise en assurant la relation de cette dernière avec l’autorité de contrôle. Ainsi, c’est à l’autorité de contrôle qu’il va s’adresser pour obtenir plus de précisions sur un point précis de la nouvelle règlementation.
Surtout, il informe rapidement la CNIL en cas de violation de données. Cette obligation de notification doit être réalisée au plus tard 72 heures après la constatation de la violation. Et si l’autorité de contrôle a besoin d’informations sur les traitements de données réalisés par l’entreprise, c’est au DPO qu’elle s’adressera en premier lieu (ses coordonnées doivent être publiques).
Enfin, pour mener à bien ses missions, l’entreprise doit donner au DPO une indépendance totale. Il ne doit donc recevoir aucune instruction de la part du responsable du traitement ou du sous-traitant. On doit également lui fournir tous les outils nécessaires à la réalisation de ses missions : nomination officielle, support technique, ressources financières…