Lille / Paris / Nice

Mon DPO externe

Externalisez votre Data Protection Officer

La désignation d’un Data Protection Officer (DPO) est devenue obligatoire pour de nombreuses entités. Nous réalisons les missions de DPO pour vous, en étant officiellement désignés DPO externe auprès des autorités de contrôle.

Nos prestations

Nous proposons des services d’accompagnement à la mise en conformité au Règlement Général sur la Protection des Données (RGPD) et plus globalement au corpus juridique encadrant le traitement de données à caractère personnel (loi informatique et libertés, lignes directrices du Comité Européen à la Protection des Données, etc.).

Structurée autour de quatre services d’accompagnement, notre gamme d’offres complète est une véritable solution à 360 degrés en faveur de la protection des données personnelles au sein de votre organisme.

Audit

Nous étudions vos pratiques et déterminons quelles actions vous devez mettre en oeuvre afin de traiter vos données personnelles conformément à la loi.

Mise en conformité

Nous aidons les entités publiques et privées à se mettre en conformité avec les dispositions du Règlement Général sur la Protection des Données (RGPD).

DPO externe

Nous réalisons les missions de DPO pour votre compte. Pour un groupe d’entités, nous pouvons être désignés DPO mutualisé auprès des autorités de contrôle.

Formation

Parce que chaque salarié peut être amené à traiter des données, nous proposons des solutions de formations e-learning et présentielles.

Votre plateforme dédiée

Nous mettons à votre disposition une plateforme SaaS dédiée à votre conformité. Vous pouvez notamment y retrouver de la documentation sur vos droits et obligations en matière de traitement de données personnelles, mais également l’ensemble des actions effectuées par votre Data Protection Officer externe (compte-rendus de réunion, notes, suivi du plan d’action de conformité, etc.).

Au sein des entités accompagnées, l’ensemble des interlocuteurs du DPO externe bénéficient d’un accès à cette plateforme SaaS. Elle permet de faire le lien entre l’entité accompagnée et le Data Protection Officer externe. Cette documentation participe par ailleurs à prouver que vous mettez en oeuvre des actions adéquates pour vous conformer aux dispositions réglementaires (“accountability”).

Déléguez vos activités règlementaires

Gagnez du temps avec un DPO externe

L’inflation législative est une réalité en France. Une circulaire du 26 juillet 2017 dont l’objectif est de lutter contre l’empilement des textes réglementaires admettait d’ailleurs volontiers que cette inflation est une contrainte pour la compétitivité des entreprises, pour l’administration et les collectivités territoriales. Se conformer à l’ensemble des réglementations est aujourd’hui un réel défi pour les entités privées comme publiques. C’est pourquoi nous vous proposons de vous appuyer sur des experts de la protection des données personnelles pour déléguer la mise en œuvre de certaines de vos obligations.

Passez moins de temps à vous préoccuper de vos enjeux réglementaires pour vous concentrer sur votre cœur d’activité.

Le Data Protection Officer

Une nouvelle fonction obligatoire

Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est une nouvelle fonction instaurée par le Règlement Général sur la Protection des Données (RGPD) depuis le 25 mai 2018. Le DPO succède d’une certaine manière au CIL (Correspondant Informatique et Libertés) dont la désignation restait jusqu’alors facultative et dont les obligations étaient plus restreintes.

Les missions légales du DPO sont décrites au sein de la section 4 du RGPD, aux articles 37 à 39. Il convient de bien distinguer les obligations incombant au responsable de traitement et/ou au sous-traitant et celles relevant du Data Protection Officer.

Il existe plusieurs façon de concevoir les rôles et missions d’un Data Protection Officer. Bien entendu, un DPO peut se limiter à réaliser les missions lui incombant strictement eu égard aux dispositions réglementaires. Mais avec une telle approche, le responsable de traitement et/ou le sous-traitant (en pratique, l’entité ou son dirigeant) devra accomplir de nombreuses missions pour assurer la conformité de ses activités. C’est pourquoi les missions du DPO vont souvent plus loin que celles fixées par la loi. En pratique, le responsable de traitement et/ou le sous-traitant délègue la réalisation de tout ou partie de ses obligations au DPO.

En se positionnant en “chef d’orchestre”, le DPO est en mesure de fournir toute l’aide adéquate afin d’accompagner une entité dans le respect des obligations réglementaires lui incombant en matière de traitement de données personnelles. Et ainsi participer à la minimisation de tout risque de sanctions.

En toutes circonstances, le Data Protection Officer n’est pas personnellement, ni pénalement responsable des non-conformités du responsable de traitement ou du sous-traitant qu’il accompagne. C’est pourquoi l’investissement et la coopération du client du DPO restent essentielles.

2004 : Création du CIL
Sous l'impulsion d'Alex Türk, ancien Président de la CNIL, et de Dominique Perben, ancien Garde des Sceaux.
2016 : 4729 CILS désignés
En tout, ce sont 17 725 entités qui ont désigné un Correspondant informatique et libertés.
2018 : fonction obligatoire
C'est à partir du 25 mai 2018 que le Data Protection Officer devient obligatoire. Isabelle Falque Pierrotin, Présidente de la CNIL, estime que 80 000 entités devront désigner un DPO cette année-là.

Quand est-ce que la nomination d’un DPO est obligatoire ?

Depuis le 25 mai 2018, date d’entrée en application du Règlement Général relatif à la Protection des Données Personnelles (RGPD), un grand nombre d’entités privées comme publiques sont dans l’obligation de nommer un Data Protection Officer (DPO) au sein des pays membres de l’Union européenne. Vous êtes soumis à cette obligation si vous entrez dans l’une des situations suivantes :

Vous êtes un organisme ou une autorité publique

Cette obligation concerne l’ensemble des organismes et autorités publiques, sans exceptions. Afin de rationaliser les coûts et les actions de conformité, plusieurs entités publiques peuvent désigner un même DPO mutualisé. L’European Data Protection Board (EDPB) recommande également que les personnes privées en charge de missions de service public désignent un DPO.

Vous traitez des données considérées comme sensibles à grande échelle

Les données sensibles sont désignées comme étant des “catégories particulières de données à caractère personnel” au sein de l’article 9 du RGPD. Ce sont toutes les données qui seules ou conjointement peuvent permettre de révéler des données relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, etc. Sont également visées les données de l’article 10 du RGPD, relatives aux condamnations pénales et aux infractions.

Vos activités de base exigent un suivi régulier et systématique à grande échelle d’individus

Toutes les formes de suivi et de profilage doivent être prises en compte, y compris ceux réalisés sur internet (le suivi d’un individu à des fins publicitaires via l’usage de cookies et/ou de traceurs par exemple). Ce suivi systématique doit par ailleurs être opéré à grande échelle. La notion de “grande échelle” est interprétée strictement par l’European Data Protection Board (organe regroupant les différentes autorités de contrôle en Europe). Exemple : un hôpital ayant une activité normale est considéré comme réalisant des traitements à grande échelle.

Les entités concernées par l’obligation de désigner un DPO

L’obligation de désigner un DPO doit être étudiée au cas par cas. Certains secteurs d’activités sont particulièrement exposés. Si vous faites partie de l’une de ces d’industries, il est fortement probable que votre entité ait l’obligation de désigner un Data Protection Officer :
Banque, assurance, courtier

De par leur nature, ces sociétés réalisent des traitements à grande échelle de données sensibles (santé, …) et/ou un suivi d’individus.

Éditeur d’application

Les traitements effectués par une app (géolocalisation, suivi de comportement, etc.) peuvent être assimilés à du suivi systématique d’individus.

Distribution, e-commerce

Que ce soit en ligne ou hors-ligne, ce secteur réalise quasi-systématiquement un suivi d’individus (cartes de fidélités, online tracking, etc.).

Enseignement, aide scolaire

Même s’ils sont privés, ces établissements sont amenés à réaliser des suivis systématiques et réguliers de leurs étudiants à grande échelle. 

Mairie, musée, centre administratif

En leur qualité d’organismes et autorités publiques, ces entités publiques sont dans l’obligation de nommer un DPO. 

Régie publicitaire, Data broker

L’objet même de ces entités est généralement d’opérer un suivi online et/ou offline d’individus en masse (cookies, IDFA, AAID, etc.).

Éditeur de solution SaaS

En qualité de sous-traitant, ces entités traitent les données personnelles (parfois sensibles) de leurs clients à grande échelle.

HÔPITAL, CLINIQUE, CENTRE DE SOIN

Ces établissements traitent par nature des données sensibles (de santé notamment) et ce à grande échelle.

Un risque important

Les sanctions règlementaires

Plusieurs sanctions peuvent être prononcées par les autorités de contrôle en cas de violation d’une ou plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD). Parmi celles-ci, les sanctions financières sont les plus redoutées. Lorsque plusieurs sanctions maximales sont encourues pour une même violation, la somme la plus élevée est retenue.
Les sanctions administratives sont prononcées en tenant compte du contexte de la violation : sa gravité, l’existence ou non de précédentes violations, le degré de coopération de l’entité, etc.

Le fait de ne pas désigner un Data Protection Officer, pour une entité disposant d’une telle obligation, est puni d’une amende administrative maximale de 2% du CA mondial de l’exercice précédent ou de 10 000 000 d’€ (somme la plus élevée). Il existe par ailleurs des risques de sanction en matière pénale, civile (réparation du préjudice subi) ainsi que des risques d’image et de réputation.

4% CA

Les non-conformités au RGPD peuvent entraîner des amendes administratives allant jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent d’une entité.

20 M€

Les violations des dispositions du RGPD peuvent entraîner des amendes administratives allant jusqu’à 20 000 000 d’euros.