C’est le DPO et lui seul qui assure la conformité au RGPD

FAUX ! Le respect du RGPD est un travail d’équipe, qui concerne autant le DPO que les collaborateurs, la DSI et les avocats. Voici comment fonctionne cette « dream team » de la bonne gestion des données personnelles…

Le DPO, le chef d’orchestre

Le DPO est le référent RGPD de l’entreprise pour laquelle il travaille, que ce soit en tant que salarié (à temps complet comme à temps partiel) ou en tant que prestataire externe. Il est un véritable chef d’orchestre, puisqu’il va coordonner l’action de tous ses collaborateurs en :

  • S’informant sur les nouvelles obligations ;
  • Tenant à jour un registre de traitement des données personnelles ;
  • Assistant les décideurs sur les conséquences des traitements, en cours ou potentiels ;
  • Concevant des actions de sensibilisation ;
  • Répondant aux demandes de la CNIL ou de tout autre organisme de contrôle.

Le DPO est donc un élément de coordination en interne (auprès de ses collaborateurs et de sa hiérarchie) et en externe. Son rôle est stratégique à plus d’un titre, et son profil, à la fois technique et juridique. Un vrai mouton à cinq pattes !

L’avocat, le conseil

L’arrivée du RGPD et son application le 25 mai, voilà bien une source de préoccupation pour les chefs d’entreprise ! Les avocats sont donc nombreux à s’être positionnés dans un rôle de « pacificateur », de conseil, dans le cadre d’un accompagnement global « RGPD compliant » proposant les prestations suivantes :

  • Aide à la décision sur la nécessité ou non de recruter un DPO ;
  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Il peut ainsi être pertinent de se faire conseiller durant les premiers mois d’application du RGPD. Un avocat sera également un allié précieux en cas de contrôle !

La DSI, la main dans les rouages

Bien sûr, l’application du RGPD va reposer sur des compétences techniques, aux mains de la DSI de l’entreprise. Il va ainsi s’agir pour elle d’installer, dans la durée, deux principes incontournables : l’accountability d’une part, consistant à mettre en œuvre des mécanismes et procédures internes démontrant que les règles relatives à la protection des données sont bien respectées, et le Privacy by default et by design d’autre part, incitant à déployer des process attentifs à la protection des données, dès la phase de conception.

La DSI est ainsi particulièrement concernée par l’article 32 du RGPD, évoquant une « obligation générale de sécurité », qui repose sur plusieurs impératifs :

  • La pseudonymisation et le chiffrement des données ;
  • L’intégrité, la disponibilité, la résilience et la confidentialité ;
  • Des phases de test, d’analyse et d’évaluation du SI ;
  • La mise en place de moyens pour rétablir l’accès et la disponibilité des données.

La DSI a ainsi pour mission de transformer, concrètement, les process de l’entreprise pour l’aider à respecter les impératifs du RGPD. Lesquels seront synthétisés par le DPO, et validés, si besoin, par les avocats.

Les collaborateurs, un changement de mentalité

Le RGPD touche toutes les composantes de l’entreprise. Ainsi, il impose aux collaborateurs un véritable changement dans les mentalités. Ils devront donc se montrer plus attentifs aux règles de respect des données personnelles, aux process et aux informations utilisées. Et ne pas oublier que, dans l’esprit du RGPD, toute donnée facultative dans une démarche commerciale est une donnée à ne pas utiliser !

L’application du RGPD est une affaire d’équipe. Vous vous apprêtez à en prendre la tête, et à devenir DPO ? Téléchargez notre Guide du DPO prêt à l’action !