1. Gestion
  2. Politique de confidentialité - RGPD
  3. Formation de DPO : vraiment utile pour être conforme au RGPD ?

Formation de DPO : vraiment utile pour être conforme au RGPD ?

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Amélie Gautier
Écrit par Amélie Gautier
Diplômée d'un Master II en droit des affaires de l'Université de Versailles Saint-Quentin-en Yvelines, Amélie est responsable du contenu juridique de Captain Contrat depuis 2017.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le 25 mai 2018, le RGPD (règlement européen sur la protection des données personnelles) entrera en vigueur au sein de l’Union européenne.

 

 

Le RGPD expliqué en deux minutes

 

Pour se mettre en conformité, certaines entreprises devront avoir un DPO (Data Protection Officer ou délégué à la protection de données) ; personnalité clef dans le respect de ce nouveau règlement qui vient remplacer la directive de 1995 sur la protection des données personnelles.

Les objectifs du RGPD

 

Comme vous le savez certainement déjà, le RGPD est le nouveau texte de référence en matière de protection de données personnelles au sein de l’Union européenne.

Il vise trois objectifs principaux :
- renforcer les droits des personnes ;
- responsabiliser les personnes ayant à charge le traitement des données ;
- et crédibiliser la régulation en renforçant la coopération entre les autorités de protection des données.  

Adopté par le parlement européen le 14 avril 2016 et promulgué le 27 avril de la même année, ce règlement qui entre en vigueur le 25 mai prochain s’appliquera aux organismes publics ainsi qu’à toute entreprise collectant ou traitant des données personnelles de résidents européens. Que ces entreprises soient installées dans un État de l’Union européenne ou non, dès lors qu'elles traitent des données personnelles de ressortissants européens, elles se doivent de respecter les exigences de ce nouveau règlement. Et les principales exigences des entreprises ayant le traitement des données pour objet principal de leur activité, il y a la désignation du DPO.

 

Le DPO et son rôle

 

Le DPO est le nouveau « Chef d’orchestre » de la conformité aux nouvelles règles en matière de protection des données.

Dans quels cas faut-il un DPO ?

La loi indique 3 cas dans lesquels un DPO est obligatoire.
-    Quand le traitement de données est fait par une autorité publique ou un organisme public
-    Quand les activités de base de la société sont des traitements de données qui du fait de leur nature ou importance exigent un suivi régulier et rigoureux des particuliers concernés.
-  Quand les activités de base de la société consistent en de gros traitements de données "sensibles" (données de santé, données biométriques, opinions politiques, convictions religieuses, données relatives à des condamnations pénales ou à des infractions).

Il résulte de ce qui précède que par exemple, quasiment tous les e-commerçants doivent avoir un DPO.

Un pouvoir unique lui est donné par le nouveau texte. Le DPO aura à s’impliquer dans toute activité relative à la protection de données. En effet, il sera inscrit dans la Politique de Sécurité du Système d’Information de l’entité pour laquelle il travaille. Son rôle consistera essentiellement à gérer le bon fonctionnement des PIA et à s’assurer de la bonne gestion de la mise en conformité. Il sera donc en interaction avec le service conformité et juridique, le RSSI et éventuellement la DSI de son organisme ou entreprise.

Il interviendra également dans les gestions de cyber-crises liées aux données personnelles et il sera le point de contact avec l’autorité de contrôle (CNIL).

En revanche, et il est très important de le souligner, le DPO n’est pas responsable de l’application du RGPD : restent responsables des manquements éventuels les personnes qui décident ou gèrent les traitements de données.

Comme vous pouvez donc le comprendre, une formation spéciale est indispensable pour devenir DPO. Et c’est ce à quoi les entreprises font face présentement.

 

Les offres de formation de DPO

 

Aujourd’hui, les formations de DPO sont bien rares. Cependant, les entreprises peuvent avoir recours à des labels de formations délivrés par la CNIL (Commission nationale de l’informatique et des libertés) ou à des écoles comme Télécom EM ou l’ISEP.  Les offres sont assez variées.

À titre d’exemple, Sciences Po Paris offre une formation certifiante de 14 jours répartis sur 5 mois. L’université Paris-II Panthéon-Assas propose également un diplôme universitaire de 120 heures — réparties sur l’année — à l’endroit des professionnels du droit, du numérique et de la compliance. Les experts qui ne désirent qu’une rapide remise à niveau de leurs connaissances peuvent, en ce qui les concerne, opter pour des offres telles que le colloque d’une journée que propose l’université de Toulouse-Capitole-I autour des bonnes pratiques du DPO.
Notons par ailleurs que certaines sociétés, se présentant comme mandatées ou labellisées par la CNIL disent proposer des prestations destinées à garantir la conformité d’une activité au RGPD. Il s’agit de propositions mensongères, car la CNIL n’a pas encore émis de certification RGPD.
Aucune certification d’expertise de DPO n’existe encore. Dans un de ses récents articles, la Commission nationale de l’informatique et des libertés (CNIL) affirmait que « les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation ».

Elle avait expliqué que ces certifications se délivreront sur la base de référentiels encore en cours d’élaboration. Il est donc impossible que des structures aient déjà reçu des certifications pour garantir la conformité au RGPD.

La commission a d’ailleurs lancé une campagne #StopArnaque pour éveiller la conscience des dirigeants d’entreprises par rapport à ces propositions mensongères. Il est donc important de faire attention aux diverses offres qui circulent sur le marché.
Pour finir, remarquons qu’en raison des retards qui sont en train d’être observés, la grande majorité des entreprises ne sera pas en règle à la date de 25 mai 2018. Le plus important pour elles sera donc d’avoir au moins initié une démarche de conformité au règlement européen sur la protection des données et d’être en mesure d’en prouver l’état d’avancement.

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier