Home Management Formation DPO RGPD : Quel est son utilité ?

Formation DPO RGPD : Quel est son utilité ?

by Kévin

Depuis le 25 mai 2018, le Règlement Européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données encore appelé RGPD (règlement européen sur la protection des données personnelles) est entré en vigueur au sein de l’Union européenne et cela dans une volonté d’unification et d’adaptation à l’ère numérique. Il s’agit d’un système de règlementation qui permet à tous les citoyens de reprendre le contrôle sur leurs données numériques dans tous les États membres de l’Union européenne. Il donne à chaque citoyen et résident de l’Union le pouvoir de reprendre le contrôle sur ses données numériques. Par conséquent, toutes les entreprises ont l’obligation de s’adapter à cette nouvelle loi au risque d’écoper de graves sanctions. Et pour se mettre en règle, elles doivent avoir un DPO (Data Protection Officer ou délégué à la protection de données) qui une personnalité clé dans le respect de ce nouveau règlement. Mais afin que le DPO joue véritablement son rôle, une formation est primordiale. Cela permettra de rendre l’entreprise conforme à la règlementation européenne sur la protection des données personnelles.

Qu’est-ce que le RGPD GDPR ?

Avant d’aborder l’importance d’une formation au métier de DPO qui n’est rien d’autre qu’un référent RGPD, il importe de clarifier pour vous cette nouvelle règlementation qu’est le RGPD. En effet, le règlement européen sur la protection des données ou RGPD GDPR est une directive européenne qui oblige toutes les sociétés et les administrations à traiter autrement les données à caractère personnel. Tous les organismes de l’UE doivent alors renforcer les politiques en matière de protection et avoir une meilleure conformité des données. Mais que désigne-t-on par « données personnelles » ? Vous pouvez lire clairement la réponse à cette question dans l’article 4 du RGPD qui le définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Partant de cette définition, cette personne peut être directement ou indirectement identifiée par des éléments propres à son identité physique, génétique, physiologique, psychique, économique, culturelle ou sociale. De ce fait, le RGPD ne s’appliquera pas aux sociétés qui font la collecte et le traitement des données de personnes morales. Mais pour cela, elles ne doivent pas gérer les informations personnelles de leurs représentants.

Objectifs du RGPD

De manière générale, le but de cette nouvelle règlementation est d’accroître la protection de tous les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel en impactant l’ensemble des acteurs des entreprises. Toutefois, on peut décliner cet objectif en trois points principaux :

  • Il renforce les droits des personnes ;
  • Il responsabilise les personnes ayant à charge le traitement des données ;
  • Il rend crédible la régulation en procédant au renforcement de la coopération entre les autorités de protection des données.

Qui est concerné par le RGPD

Le nouveau texte de référence en matière de protection de données personnelles au sein de l’Union européenne s’applique à tous les traitements de données à caractère personnel de citoyen européen. Ainsi, toute entreprise installée dans un État de l’Union européenne ou non est concernée dès lors qu’il collecte ou traite des données personnelles de résidents européens. Mais ce n’est pas seulement l’affaire des sociétés traitant des informations personnelles, il y aussi :

  • Les associations qui font la collecte des informations personnelles sur leurs membres, bénévoles, adhérents ;
  • les collectivités qui  »devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées » (CNIL) ;
  • les personnes morales de droit public (EPIC, EPA, hôpitaux, enseignement supérieur, secteur inter-communal, etc.)

Mais parmi les principales exigences que le RGPD impose aux entreprises qui traitent des données personnelles comme objet principal de leur activité, on note la désignation du DPO.

Le DPO et son rôle

Le DPO, connu en français comme le « délégué à la protection des données » et anglais sous le nom de « Data Privacy Officer » ou « Data Protection Officer » est l’une des principales mesures que toute société doit prendre pour être en règle vis-à-vis du RGPD. Cela a été mentionné dans les articles 37 à 39 du règlement. Le DPO est en réalité le successeur du CIL (Correspondant Informatique et Libertés). C’est donc le nouveau « Chef d’orchestre » chargé de veiller à la conformité des nouvelles règles en matière de protection des données. Il devra être inscrit dans la Politique de Sécurité du Système d’Information de l’organisme pour laquelle il travaille.

Pour mener à bien ses missions, il a l’obligation de considérer particulièrement les risques associés aux opérations de traitement en fonction des données traitées et de la façon dont ces informations sont traitées. Pour cela :

  • il se doit d’informer et de conseiller en toute indépendance le responsable du traitement des données. Il doit ainsi mener des actions de sensibilisation et de formation.
  • Il doit s’assurer également à ce que le règlement européen sur la protection des données personnelles soit bien respecté dans l’entreprise – au travers d’audit de mise en conformité ;
  • Il doit dispenser des conseils sur demande – notamment en ce qui concerne bon fonctionnement des PIA ;
  • Il est chargé de la gestion des interactions avec la CNIL (ou toute autre autorité de contrôle) et à ce titre, fait office de point de contact avec elle.

En résumé, le DPO joue un rôle pivot dans le dispositif du RGPD. Il est un élément de coordination interne et externe. Il s’agit d’une fonction dynamique et agile qui va au-delà de celui du CIL. Raison pour laquelle, les organismes doivent veiller à la qualité de la formation de leur DPO afin qu’il soit vraiment outillé pour leur apporter la meilleur des prestations.

Pourquoi suivre une formation DPO ?

Compte tenu de la sensibilité de ce métier, il est important de suivre une formation DPO afin d’éviter certains problèmes pour votre entreprise. Cette formation vous permet d’appréhender les nouveaux enjeux en matière de données à caractère personnel instaurés par le RGPD. Vous pourrez également maîtriser les éléments clés d’une mise en conformité concrète adaptée aux nouvelles contraintes et obligations. Pour ceux qui se demandent si la règlementation a prévu un profil précis pour être DPO. Nous leur notifions que le RGPD ne détaille pas le profil du DPD dans son article 35, mais précise qu’il doit disposer d’« une connaissance approfondie du droit et des pratiques de protection des données ». Étant donné qu’il s’agit d’un nouveau métier, cela rend les recrutements et l’évaluation des compétences du DPO difficile. Toutefois, la CNIL a réalisé un outil qui permet de faciliter les choses. C’est un référentiel qui regroupe les 17 compétences clés que peut avoir un DPO. Ces compétences sont réparties en trois grands types de savoir-faire.

Savoirs organisationnels

Un DPO doit avoir la capacité de conseiller dans l’élaboration de procédures et politiques pour la protection des données. Pour cela, il doit avoir une bonne maitrise de la gouvernance des entreprises. En outre, il doit pouvoir mener un audit de conformité et de manager..

Savoirs techniques et informatiques

Il doit disposer des compétences nécessaires pour exécuter les demandes de modification et d’effacement des données. Il doit mettre en place le « Privacy by design » au sein de l’entreprise.

Savoirs juridiques

Le DPO doit disposer d’une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Toutefois, le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre. Il peut donc aider l’entreprise à élaborer des clauses de protection des données personnelles pendant la signature d’un contrat. Il constitue l’interlocuteur de la CNIL et doit pouvoir instruire les plaintes éventuelles.

Et vous pourrez acquérir toutes ses compétences grâce à la formation DPO.

Toutes les entreprises doivent-elles nommer un DPO ?

La règlementation prévoit trois cas 3 cas dans lesquels un délégué à la protection des données est obligatoire :

  • Lorsque le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans leur rôle juridictionnel). Étant donné que le RGPD ne définit pas ce qu’il met dans « autorité ou un organisme public », la notion est déterminée en fonction du droit national de chaque pays de l’UE ;
  • lorsque les activités de base de l’entreprise l’amènent à réaliser un traitement de données personnelles à grande échelle ;
  • lorsque les activités de base de l’entreprise consistent en de gros traitements de données « sensibles ». Il s’agit par exemple des données de santé, des données biométriques, des opinions politiques, des convictions religieuses, des données sur les condamnations pénales ou des infractions.

De ce fait, on peut déduire que tous les E.-commerçants en général doivent avoir un DPO.

related posts

Leave a Comment