Conformité RGPD & DPO externalisé

Le responsable de la protection des données (Data Protection Officer – DPO) est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés.

Pour les organismes dont la désignation du DPO est obligatoire, il sera le conseiller et l’intermédiaire privilégié de la CNIL pour piloter la conformité au RGPD. Au sein de l’entreprise ou collectivité, le DPO sera également l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou qu’elles émanent d’une personne concernée par un traitement effectué par l’organisme. Ainsi, le DPO sera en charge de la gestion des demandes d’exercice des droits.

Notre pôle Conseil vous assiste dans la nomination du DPO sur le site de la CNIL.

La création et la tenue d’un registre des activités de traitement des données est impératif pour se conformer aux exigences RGPD. Notre pôle Conseil vous accompagne dans la création et mise à jour de ce registre.

Le registre des activités de traitement de données doit contenir le nom, les coordonnées et l’adresse de votre organisation. Si vous avez un délégué à la protection des données, le registre doit également contenir son nom et ses coordonnées.

Pour chaque activité de traitement, la fiche de registre doit contenir au moins les éléments suivants :

• Le nom et les coordonnées du responsable conjoint du traitement.
• Les finalités du traitement, c’est-à-dire l’objectif pour lequel vous collectez ces données.
• Les catégories de personnes concernées par le traitement (clients, prospects, employés, etc.).
• Les catégories de données personnelles traitées (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, données de localisation, etc.).
• Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez.
• Les transferts de données personnelles vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts.
• Les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer.
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

Ce registre doit être complété et tenu à jour. Il peut aussi être intégré dans une base de donnée privée (un intranet par exemple).

Sur la base d’un inventaire des prestataires, le DPO qualifie les sous-traitants pour les données personnelles. La démarche de conformité de ces sous-traitants passe par un courrier de demande de preuve de conformité associé à un questionnaire d’évaluation juridiquement opposable, la lecture des paragraphes RGPD des contrats, la proposition d’adaptation de ces contrats avec une clause RGPD, l’ajout de description des traitements et d’instructions dans les clauses. Ces documents sont intégrés dans une base privée.

Un paragraphe RGPD est proposé pour les consultations et les appels d’offres.

Informations des personnes internes (collaborateurs) : le DPO éditera et proposera de mettre en place avec le service RH une note interne, recensant les traitements et informations sur les conditions d’utilisation des données personnelles des salariés. Ces documents sont intégrés dans la base privée documentaire de chaque société.

Information des personnes externes : le DPO met en place une politique de confidentialité adaptée aux activités de l’établissement concerné. Cette politique sera visible sur Internet et servira de cadre référent pour les mentions individuelles. Un inventaire des actions de collecte (formulaire papier, en ligne…) et écriture des mentions d’informations sera effectué par le DPO. Pour les données collectées avant ces démarches (fichiers anciens), il sera proposé un envoi de courrier d’information adapté. Ces documents sont intégrés dans la base privée documentaire de chaque société. Pour les nouvelles données collectées, les mentions d’informations adaptées à chaque situation et complémentées par la politique de confidentialité permettront d’être conforme à l’exigence d’information aux individus.

Le DPO identifiera les besoins de recueil de consentement à partir des informations du registre et des opérations spécifiques. Il proposera et mettra en place des mécanismes de recueil (formulaire papier, réponse email, opt in internet…).  Il assurera la gestion des cookies. La collecte et la gestion des consentements seront placés dans la base documentaire.

Le DPO sera destinataire des demandes du droit des personnes. Il organise la bonne gestion d’exercice des droits, il collecte et gère les demandes dans les délais et dans les conditions prévues par le règlement. Il gère les accusés de prise en compte des délais. Il répond après avoir mis en forme la réponse. Cette dernière est tenue dans le registre des demandes et gérée dans la base.

Le DPO analyse les risques de traitement identifiés dans le registre par la prise en compte des indications du CEPD (Comité Européen de la Protection des Données) et de la CNIL dans le process de qualification d’analyse d’impact (Privacy Impact Assessment – PIA).

En cas de doute, il justifie la non-réalisation d’un PIA ou il demande un avis à la CNIL. Si le risque est élevé il réalise le PIA, identifie les risques, propose un plan de traitement et suit les actions de protection des risques.

Il contrôle et analyse les mesures de protection (contrôle de sécurité du SI) en cas de changement du traitement. Tous les documents sont intégrés dans la base documentaire.

Le DPO propose et met en place une procédure de violation de données RGPD à concilier et à adapter avec la gestion des incidents. Lorsque des incidents sont remontés, le DPO qualifie les incidents en violation constatés.

1. Il se charge de la notification à la CNIL via la plateforme de déclaration dédiée.
2. Il gère la communication à la direction et aux personnes concernées si cela est nécessaire.
3. Il suit ensuite les évolutions de la déclaration et la mise en place des actions correctives.
4. Il clôture la violation.

Toutes les informations sont consignées dans le registre des violations et dans la base documentaire.

Le DPO réalise une revue de l’application des principes RGPD dans tous les services et outils existants. Il relève les écarts de conformité entre les services et outils existants et les principes du RGPD.

Il réalise un bilan des non-conformités qu’il présente dans un rapport pour proposer un plan de traitement et d’actions correctives. Pour les futurs traitements et logiciels, il participe à la rédaction du Cahier des Charges.

Tous les rapports sont placés dans la base documentaire.

La sensibilisation des cadres a été effectuée dans la phase 1. Pour compléter par un aspect opérationnel cette sensibilisation, il réalise des fiches réflexes (une par service) pour appliquer le RGPD dans chaque périmètre métier.

Le DPO est en charge de la sensibilisation de masse des agents. Il construit et propose un support de sensibilisation adapté à la structure et organise des tests de contrôle des connaissances (sous forme de QCM). Il coordonne la sensibilisation avec la RH. Il propose un plan de communication pour les salariés et une procédure individuelle pour chaque nouvel embauché. La sensibilisation sera réalisée en ligne avec les tests de connaissance pour permettre de gérer les résultats. Les résultats du contrôle des connaissances, ainsi que les supports servent de preuves dans la base documentaire.

Un Guide/Fiches des bonnes pratiques sera proposé par le DPO pour accroitre le niveau de sécurité des agents. Il réalise et participe à la diffusion de fiches « sécurité » rappelant les bonnes pratiques à mettre en œuvre au niveau quotidien et personnel, en vue d’appliquer les mesures de protection des données personnelles (mot de passe, phishing, bureau propre, etc).

Le DPO présente à la direction un bilan annuel de la conformité. Il s’agit de présenter les actions d’exercice de conformité (demandes de droits, violations de données), une photographie sur l’état d’avancement des actions de conformité déroulées en cours d’année et celles prévues pour s’adapter aux évolutions des risques de violation de données et sur les actions qu’il convient de réaliser pour rester dans la conformité. Ce bilan est conservé dans la base documentaire.

Le DPO tient la direction informée de tout nouveau changement dans la règlementation de la vie privée (RGPD, Loi informatique et liberté, directive, code civil…). Il intègre immédiatement les changements significatifs et effectifs, ou l’intègre dans son plan de traitement annuel s’il s’agit d’une évolution planifiée.

Le DPO crée un espace organisé, destiné à gérer les preuves de conformité en cas de contrôle. Cette Base Documentaire est le référentiel RGPD du DPO.

Cette base documentaire pet être gérée par le DPO externalisé. Les chefs de services peuvent avoir accès aux informations sur demande de conformité qui les concernent. La direction possède un accès sur la totalité.

La base documentaire gère les versions.