News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

RGPD et DPO : Le guide du DPO en 6 étapes

Vous êtes Data Protection Officer (DPO) ? Ce guide est fait pour vous ! Il vous aide à synthétiser les grandes étapes de votre mission de mise en conformité au RGPD. L’objectif est également de vous aider à diffuser l’information dans votre entreprise ou structure. Il n’est pas toujours évident...

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Vous êtes Data Protection Officer (DPO) ? Ce guide est fait pour vous ! Il vous aide à synthétiser les grandes étapes de votre mission de mise en conformité au RGPD. L’objectif est également de vous aider à diffuser l’information dans votre entreprise ou structure. Il n’est pas toujours évident de faire comprendre simplement les missions du DPO en charge du RGPD dans l’entreprise et les subtilités techniques, juridiques et organisationnelles de votre métier ne sont pas forcément claires pour l’ensemble des collaborateurs.

 

 

Or, on va le voir, bien communiquer en interne sur le rôle du DPO et sur le RGPD, mettre en place des voies de remontée d’informations dans votre entreprise et s’assurer que toutes les personnes impliquées de près ou de loin par une opération de traitement des données soient sensibilisées au RGPD est un des aspects importants de votre fonction. 

 

 

Quelles sont les grandes étapes d’un projet de mise en conformité au RGPD ? Comment mener les grands chantiers qui vous attendent ? Quels outils et logiciels de protection des données utiliser ?

 

Le guide du DPO RGPD en 6 étapes

 

1. Communiquer en interne sur votre rôle de DPO garant du RGPD

 

La première étape de votre prise de fonction en tant que Délégué à la Protection des Données est de diffuser l’information dans votre structure. Pour beaucoup, le rôle du DPO, le RGPD, voire le terme de données personnelles sont des notions un peu floues. Expliciter votre rôle, les grands objectifs du RGPD, la politique (volontariste ?) de l’entreprise en matière de respect de la vie privée, les grands chantiers à mettre en œuvre sont des éléments de sensibilisation importants. 

 

 

Plus concrètement, vous aurez besoin d’embarquer dans les chantiers RGPD, qui sont transverses, un grand nombre de collaborateurs, en réalité tous ceux qui sont impliqués dans des process conduisant au traitement ou à la collecte de données. Ces personnes ont besoin de bien comprendre dans quel cadre vous allez intervenir, quelle est votre place dans l’organisation et quels sont les impératifs réglementaires avec lesquels vous assurez la mise en conformité. 

 

 

2. Mener un état des lieux des traitements des données dans l’entreprise

 

Cela semble assez naturel : pour bien contrôler la conformité des traitements au RGPD, le DPO doit d’abord identifier et cartographier les différents traitements de données qui peuvent être effectués par l’entreprise. Cette étape est loin d’être évidente, en particulier dans les structures plus importantes, tant les occasions de traiter la donnée sont nombreuses.

 

 

Il est conseillé de s’appuyer sur un registre de traitement des données pour mener à bien ce travail de mapping.

 

 

registre des traitements dpo rgpd

3. Etablir un plan de bataille en priorisant les actions à mener en tant que DPO

 

Les travaux de mise en conformité, mais aussi d’implémentation de procédures internes sur la durée (on en parlera plus loin) sont des chantiers importants. Il est donc nécessaire de prioriser vos actions. 

 

 

En effet, toutes les données n’ont pas le même degré de sensibilité et toutes les opérations de traitement ne se valent pas. Concrètement, trois critères peuvent vous permettre de mesurer le niveau de priorité d’une action donnée.
 

 

  • Critère de la sensibilité de la donnée : la donnée personnelle considérée est-elle sensible au sens du RGPD ? 
  • Critère du traitement : de quel type de traitement s’agit-il ? Implique-t-il une surveillance à grande échelle d’une zone accessible au public ? Implique-t-il des opérations de profilage ? 
  • Critère géographique : les données sont-elles transférées hors de l’Union Européenne ? 

 

4. L’analyse d’impact (PIA ou AIPD)

 

 

En tant que DPO et après avoir identifié des opérations de traitement de données susceptibles de faire peser un risque élevé sur les droits des personnes concernées, la réglementation impose que vous meniez une analyse d’impact pour chacun de ces traitements. 

 

 

Cette Analyse d’Impact relative à la Protection des Données (AIPD), également appelée Privacy Impact Assessment (PIA) ne s’improvise pas. Pour en savoir plus, consultez notre guide sur le PIA expliqué en 5 points. 

 

PIA rgpd dpo

5. Piloter les procédures internes garantissant la protection des données

 

 

La conformité au RGPD n’est pas une opération ponctuelle mais bien un projet de long terme qui doit s’intégrer sur la durée à toutes les opérations de l’entreprise. Il sera donc nécessaire de mettre en place une série de processus internes visant à assurer la prise en compte de la protection des données en continu. 

 

 

L’idée est d’anticiper les points des processus qui peuvent présenter un risque pour la protection des données : faille de sécurité, modification de données collectées, changement de sous-traitant… Pour chacun de ces moments-clés de la vie de la donnée, des scénarios de contrôle et de garantie de conformité doivent être mis en place. 

 

 

6. Documenter la conformité pour justifier de la protection des données en continu

 

 

Le mode de contrôle de la conformité au RGPD par la CNIL passe par le contrôle des procédures internes mises en place. Il ne suffit donc pas d’assurer concrètement la conformité au RGPD dans votre entreprise, encore faut-il être capable de prouver et de justifier des actions implémentées. 

 

 

Pour cela, la CNIL s’appuie sur plusieurs documents qu’il faut donc documenter et tenir à jour. Ce sont eux qui vous permettront de rendre compte de vos actions en cas de contrôle et dans vos échanges avec la CNIL. On peut citer le registre des traitements CNIL, dont on a déjà parlé, ainsi que les analyses d’impact ou PIA relatives à chaque opération de traitement qui nécessite un tel travail. Enfin, vous devez justifier de l’encadrement des transferts de données sortant de l’Union européenne : clauses contractuelles types, certifications des prestataires concernés, etc… 

 

 

Comment un logiciel RGPD pour les DPO peut vous aider ?

 

Pour vous épauler dans votre mission de DPO RGPD, un logiciel de gestion du RGPD peut s’avérer être un précieux allié. Un logiciel comme Witik est une suite d’outils qui vous fera gagner en temps et en efficacité à chaque étape évoquée plus haut. 

 

 

On peut citer la génération de registres de traitements automatisés, des analyses d’impact intelligentes pour chaque opération de traitement, ou encore l’audit RGPD de vos sous-traitants et prestataires de traitements des données personnelles.

 

Un logiciel comme Witik vous accompagne de la phase d’audit RGPD à l’implémentation de process internes de long terme et à la production de la documentation exigée par la CNIL et le RGPD.