Lille / Paris / Nice

DPO externe propose des services d’externalisation de la fonction de Data Protection Officer (DPO) et des prestations liées à ces activités. En choisissant DPO externe, vous faîtes le choix de sélectionner des professionnels de la protection des données personnelles travaillant ou ayant travaillé au sein des plus grands groupes français et internationaux.

Nos Data Protection Officers cumulent des expertises indispensables à la bonne exécution de leurs missions : juridiques, techniques (et notamment de système de management de la sécurité des systèmes d’informations), organisationnelles, d’analyses et d’appréciation des risques.

Le Data Protection Officer (DPO)

Une nouvelle fonction

Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est une nouvelle fonction instaurée par le Règlement général sur la protection des données (RGPD). Le DPO succède d’une certaine manière au CIL (Correspondants Informatique et Libertés) dont la désignation restait jusqu’alors facultative et dont les obligations étaient plus restreintes.

2018 : fonction obligatoire
C'est à partir du 25 mai 2018 que le Data Protection Officer devient obligatoire. Isabelle Falque Pierrotin, Présidente de la CNIL, estime que 80 000 entités devront désigner un DPO cette année-là.
2016 : 4 729 CILS désignés
En tout, ce sont 17 725 entités qui ont désigné un Correspondant informatique et libertés.
2004 : Création du CIL
Sous l'impulsion d'Alex Türk, ancien Président de la CNIL, et de Dominique Perben, ancien Garde des Sceaux.

Quand est-ce que la nomination d’un  DPO est obligatoire ?

A partir du 25 mai 2018, date d’entrée en application du Règlement général relatif à la protection des données personnelles (RGPD), un grand nombre d’entités privées comme publiques seront dans l’obligation de nommer un Data Protection Officer (DPO) au sein des pays de l’Union européenne.

Lors du traitement de données sensibles à grande échelle

Données relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques, à l’appartenance syndicale, etc.
Ou en cas de suivi régulier des données d’un individu
Ce suivi systématique doit être opéré à grande échelle. La notion de “grande échelle” est interprétée strictement par le G29.

Exemple : un hôpital ayant une activité normale est considéré comme réalisant des traitement à grande échelle.

 

Ou pour l’ensemble des organismes et autorités publiques
Le G29 recommande également que les personnes privées en charge de missions de service public désignent un DPO.

Exemples  d’entités particulièrement concernées

Bien que chaque cas soit singulier, certains secteurs, de par leur structuration et la nature même de leurs activités, peuvent difficilement échapper à l’obligation de désigner un Data Protection Officer.
Banque, assurance, courtier

De par leur nature, ces sociétés réalisent des traitements à grande échelle de données sensibles et/ou un suivi d’individus.

Éditeur d’application

Les traitements effectués par une app (géolocalisation, suivi de comportement, etc.) peuvent être assimilées à du suivi systématique d’individus.

Distribution, e-commerce

Que ce soit en ligne ou hors-ligne, ce secteur réalise quasi-systématiquement un suivi d’individus (cartes de fidélités, online tracking, etc.)

Enseignement, aide scolaire

Même s’ils sont privés, ces établissements sont amenés à réaliser des suivis systématiques et réguliers de leurs étudiants. 

Mairie, musée, centre administratif

Par nature, l’ensemble des autorités ou organismes publics doivent désigner un DPO. 

Régie publicitaire, Data broker

Leur coeur d’activité consistant en du traitement de données d’individus à grande échelle.

Éditeur de solution SaaS

Les éditeurs cumulant plusieurs clients, la notion de “grande échelle” leur est rapidement applicable, y compris en leur qualité de sous-traitant.

HÔPITAL, CLINIQUE, CENTRE DE SOIN

Ces établissements traitent par nature des données sensibles (de santé notamment) et ce à grand échelle.

DPO,
Chef d’orchestre
de la conformité

Il existe plusieurs façon de concevoir les rôles et missions d’un Data Protection Officer. Bien entendu, un DPO peut se limiter à réaliser les missions lui incombant strictement eu égard aux dispositions réglementaires. Mais avec une telle approche, le responsable de traitement (en pratique, l’entité ou son dirigeant) devra accomplir complémentairement de très nombreuses missions pour assurer la conformité de ses activités. C’est pourquoi les missions du DPO vont souvent plus loin que celles fixées par la loi. En se positionnant en “chef d’orchestre”, le DPO est en mesure de fournir toute l’aide adéquate afin d’accompagner une entité dans le respect complet des obligations réglementaires lui incombant en matière de traitement de données personnelles. Et ainsi participer à la minimisation de tout risque de sanctions.

Les indispensables  compétences du DPO

Pilotage
Le DPO doit être en capacité de mener des projets en coordonnant des Hommes et des ressources.
Juridique
Le RGPD impose que le DPO dispose de connaissances en matière de réglementations sur la protection des données personnelles.
Sécurité des systèmes d’informations
Les enjeux de sécurité sont essentiels en matière de conformité des traitements de données personnelles.
Risques
Savoir analyser et apprécier les risques que présente la manipulation de données est au coeur des études d'impacts sur la vie privée.
Les
risques de
sanctions

La somme la plus élevée est retenue pour les infractions au Règlement Général sur la Protection des Données (RGPD). Le fait de ne pas désigner un Data Protection Officer, pour une entité disposant d’une telle obligation, est puni d’une amende administrative maximale de 2% du CA mondial de l’exercice précédent ou de 10 000 000 d’€ (somme la plus élevée). Il existe par ailleurs des risques de sanction en matière pénale, civile (réparation du préjudice subi) ainsi que des risques d’image et de réputation.

Les sanctions administratives sont prononcées en prenant dûment compte du contexte de la violation : sa gravité, l’existence ou non de précédentes violations, le degré de coopération de l’entité, etc.

4% CA

Les violations au Règlement peuvent entrainer des amendes administratives allant jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent d’une entité.

20 M€

Les violations au Règlement peuvent entraîner des amendes administratives allant jusqu’à 20 000 000 d’euros.