Mon DPO externe
Externalisez votre Data Protection Officer
La désignation d’un DPO (Data Protection Officer) est devenue obligatoire pour de nombreuses entités depuis l’entrée en application du RGPD. Nous réalisons de manière externalisée les missions de DPO pour vous, en étant officiellement désignés DPO externe auprès des autorités de contrôle.
Nos prestations
Nous proposons des services d’accompagnement à la mise en conformité au Règlement Général sur la Protection des Données (RGPD) et plus globalement au corpus juridique encadrant le traitement de données à caractère personnel (loi informatique et libertés, lignes directrices du Comité Européen à la Protection des Données, etc.).
Structurée autour de quatre services d’accompagnement (audit, mise en conformité, formation et externalisation de la fonction de DPO), notre gamme d’offres complète est une véritable solution à 360 degrés en faveur de la protection des données personnelles au sein de votre organisme.
Audit
Nous étudions vos pratiques et déterminons quelles actions vous devez mettre en oeuvre afin de traiter vos données personnelles conformément à la loi.
Mise en conformité
Nous aidons les entités publiques et privées à se mettre en conformité avec les dispositions du Règlement Général sur la Protection des Données (RGPD).
DPO externe
Nous réalisons les missions de DPO pour votre compte. Pour un groupe d’entités, nous pouvons être désignés DPO mutualisé auprès des autorités de contrôle.
Formation
Parce que chaque salarié peut être amené à traiter des données, nous proposons des solutions de formations e-learning et présentielles.
Votre plateforme dédiée
En tant que DPO externe, nous mettons à votre disposition une plateforme SaaS dédiée à votre conformité. Vous pouvez notamment y retrouver de la documentation sur vos droits et obligations en matière de traitement de données personnelles, mais également l’ensemble des actions effectuées par votre Data Protection Officer externe (comptes-rendus de réunion, notes de conformité, suivi du plan d’action de conformité, etc.).
Au sein des entités accompagnées, l’ensemble des interlocuteurs du DPO externe bénéficient d’un accès à cette plateforme SaaS. Elle permet de faire le lien entre l’entité accompagnée et le Data Protection Officer externe. Cette documentation participe par ailleurs à prouver que vous mettez en oeuvre des actions adéquates pour vous conformer aux dispositions réglementaires (“accountability”).
Déléguez vos activités règlementaires
Gagnez du temps avec un DPO externe
L’inflation législative est une réalité en France. Une circulaire du 26 juillet 2017 dont l’objectif est de lutter contre l’empilement des textes réglementaires admettait d’ailleurs volontiers que cette inflation est une contrainte pour la compétitivité des entreprises, pour l’administration et les collectivités territoriales. Se conformer à l’ensemble des réglementations est aujourd’hui un réel défi pour les entités privées comme publiques. C’est pourquoi nous vous proposons de vous appuyer sur des experts de la protection des données personnelles pour déléguer la mise en œuvre de certaines de vos obligations.
Passez moins de temps à vous préoccuper de vos enjeux réglementaires pour vous concentrer sur votre cœur d’activité.
Le Data Protection Officer
Une jeune fonction obligatoire
Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est une fonction instaurée par le Règlement Général sur la Protection des Données (RGPD) depuis le 25 mai 2018. Le DPO succède d’une certaine manière au CIL (Correspondant Informatique et Libertés) dont la désignation restait jusqu’alors facultative et dont les obligations étaient plus restreintes.
Les missions légales du DPO sont décrites au sein de la section 4 du RGPD, aux articles 37 à 39. Il convient de bien distinguer les obligations incombant au responsable de traitement et/ou au sous-traitant et celles relevant du Data Protection Officer.
Il existe plusieurs façon de concevoir les rôles et missions d’un Data Protection Officer. Bien entendu, un DPO peut se limiter à réaliser les missions lui incombant strictement eu égard aux dispositions réglementaires. Mais avec une telle approche, le responsable de traitement et/ou le sous-traitant (en pratique, l’entité ou son dirigeant) devra accomplir de nombreuses missions pour assurer la conformité de ses activités. C’est pourquoi les missions du DPO vont souvent plus loin que celles fixées par la loi. En pratique, le responsable de traitement et/ou le sous-traitant délègue la réalisation de tout ou partie de ses obligations au DPO.
En se positionnant en “chef d’orchestre”, le DPO est en mesure de fournir toute l’aide adéquate afin d’accompagner une entité dans le respect des obligations réglementaires lui incombant en matière de traitement de données personnelles. Et ainsi participer à la minimisation de tout risque de sanctions.
En toutes circonstances, le Data Protection Officer n’est pas personnellement, ni pénalement responsable des non-conformités du responsable de traitement ou du sous-traitant qu’il accompagne. C’est pourquoi l’investissement et la coopération du client du DPO restent essentielles.
Quand est-ce que la nomination d’un DPO est obligatoire ?
Depuis le 25 mai 2018, date d’entrée en application du Règlement Général relatif à la Protection des Données Personnelles (RGPD), un grand nombre d’entités privées comme publiques sont dans l’obligation de nommer un Data Protection Officer (DPO) au sein des pays membres de l’Union européenne. Vous êtes soumis à cette obligation si vous entrez dans l’une des situations suivantes :
Vous êtes un organisme ou une autorité publique
Cette obligation concerne l’ensemble des organismes et autorités publiques, sans exceptions. Afin de rationaliser les coûts et les actions de conformité, plusieurs entités publiques peuvent désigner un même DPO mutualisé. L’European Data Protection Board (EDPB) recommande également que les personnes privées en charge de missions de service public désignent un DPO.
Vous traitez des données considérées comme sensibles à grande échelle
Les données sensibles sont désignées comme étant des “catégories particulières de données à caractère personnel” au sein de l’article 9 du RGPD. Ce sont toutes les données qui seules ou conjointement peuvent permettre de révéler des données relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, etc. Sont également visées les données de l’article 10 du RGPD, relatives aux condamnations pénales et aux infractions.
Vos activités de base exigent un suivi régulier et systématique à grande échelle d’individus
Toutes les formes de suivi et de profilage doivent être prises en compte, y compris ceux réalisés sur internet (le suivi d’un individu à des fins publicitaires via l’usage de cookies et/ou de traceurs par exemple). Ce suivi systématique doit par ailleurs être opéré à grande échelle. La notion de “grande échelle” est interprétée strictement par l’European Data Protection Board (organe regroupant les différentes autorités de contrôle en Europe). Exemple : un hôpital ayant une activité normale est considéré comme réalisant des traitements à grande échelle.
Quelles sont les entités concernées par la nomination obligatoire d’un DPO ?
L’obligation de désigner un DPO doit être étudiée au cas par cas et peut s’avérer complexe à déterminer. Certains secteurs d’activités sont particulièrement exposés. Si vous faites partie de l’une de ces d’industries, il est fortement probable que votre entité ait l’obligation de désigner un Data Protection Officer, qu’il soit internalisé ou externalisé :
En leur qualité d’organismes et autorités publiques, ces entités publiques sont légalement dans l’obligation de nommer un DPO.
De par leur nature, ces sociétés réalisent des traitements à grande échelle de données sensibles (santé, …) et/ou un suivi systématique d’individus.
L’objet même de ces entités est généralement d’opérer un suivi en ligne et/ou hors ligne d’individus en masse (cookies, IDFA, AAID, etc.).
En qualité de sous-traitant, ces entités traitent les données personnelles (parfois sensibles) de leurs multiples clients à grande échelle.
Que ce soit en ligne ou hors-ligne, ce secteur d’activité réalise quasi-systématiquement un suivi d’individus (cartes de fidélités, online tracking, etc.).
Les traitements engendrés par une application mobile (géolocalisation, suivi de comportement) peuvent être assimilés à du suivi systématique d’individus.
Même s’ils sont privés, ces établissements sont amenés à réaliser des suivis systématiques et réguliers de leurs élèves et étudiants à grande échelle.
Ces établissements dédiés aux soins traitent de par leur cœur de métier des données sensibles (de santé notamment) et ce à grande échelle.
Un risque important
Les sanctions règlementaires
Plusieurs sanctions peuvent être prononcées par les autorités de contrôle en cas de violation d’une ou plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD). Parmi celles-ci, les sanctions financières sont les plus redoutées. Lorsque plusieurs sanctions maximales sont encourues pour une même violation, la somme la plus élevée est retenue.
Les sanctions administratives sont prononcées en tenant compte du contexte de la violation : sa gravité, l’existence ou non de précédentes violations, le degré de coopération de l’entité, etc.
Le fait de ne pas désigner un Data Protection Officer, pour une entité disposant d’une telle obligation, est puni d’une amende administrative maximale de 2% du CA mondial de l’exercice précédent ou de 10 000 000 d’€ (somme la plus élevée). Il existe par ailleurs des risques de sanction en matière pénale, civile (réparation du préjudice subi) ainsi que des risques d’image et de réputation.
Les non-conformités au RGPD peuvent entraîner des amendes administratives allant jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent d’une entité.
Les violations des dispositions du RGPD peuvent entraîner des amendes administratives allant jusqu’à 20 000 000 d’euros.