Délégué à la protection des données ETI et Grands groupes

RGPD DPO ETI Grands groupes

RGPD DPO ETI Grands Groupes

RGPD : Lexing Alain Bensoussan Avocats, Délégué à la Protection des Données externalisé des ETI et Grands groupes


Au regard de l’article 37 du RGPD, la désignation d’un DPO revêt, pour les Entreprises de taille Intermédiaire (ETI) et les Grands groupes, un caractère obligatoire dans la plupart des cas, de par leur taille, la nature de leurs activités et surtout des opérations de traitements qu’ils sont amenés à mettre en œuvre.
À leur attention, Lexing Alain Bensoussan Avocats propose une offre « Délégué à la Protection des Données » externalisée dédiée, fruit de son expérience acquise depuis 40 ans en droit de la protection des données et dans l’accompagnement de longue date de très nombreuses entreprises et groupes internationaux dans ce domaine.


RGPD Délégué à la protection des données ETI et Grands groupes, nouveau pilote de la conformité

RGPD DPO ETI Grands groupes

Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données (RGPD), entré en application effective le 25 mai 2018, a introduit l’obligation pour bon nombre d’entreprises de désigner un Délégué à la protection des données (DPD ou DPO pour « Data Protection Officer »).

Pour les ETI Grands groupes, cette désignation revêt un caractère quasi-obligatoire.

La fonction de DPO ETI et Grands groupes est un nouveau métier pour lequel les compétences requises sont autant juridiques que techniques, organisationnelles et stratégiques.

Garant de la conformité des traitements au sein de l’entreprise, le DPO doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Il participe à la croissance des organismes en pilotant la gouvernance des données personnelles.
Il est le point de contact essentiel pour les personnes concernées dans l’exercice de leurs droits et assure le dialogue avec la Cnil.

Le DPO apparaît comme un acteur incontournable du traitement des données personnelles de l’entreprise.
Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD.

Les obligations imposées aux entreprises par le RGPD

Comme toutes les entreprises amenées à mettre en œuvre des traitements de données personnelles dans le cadre de leur activité, les ETDI et Grands groupes sont évidemment concernés par le RGPD.

Il impose aux entreprises de se plier à de nouvelles obligations, telles que :

Les obligations imposées aux entreprises par le RGPD

  • la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné ;
  • l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD ;
  • l’obligation de notifier à la Cnil toute violation de données à caractère personnel.
  • la réalisation d’analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;

La mise en conformité avec le RGPD est un enjeu majeur : la Cnil, autorité de tutelle, peut être amenée à infliger des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel.

Mais sa mise en application devrait aussi et surtout avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises , donnant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles.

Il permet ce faisant d’accroître également la confiance de ses partenaires et collaborateurs, et de renforcer sa position concurrentielle .

Le Délégué à la protection des données ETI et Grands groupes, nouveau pilote de la conformité

En vertu de l’art. 37 RGPD, la désignation d’un délégué à la protection des données(DPO) est impérative, pour le responsable et le sous-traitant dans les situations suivantes :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Par ailleurs, le DPO peut, sous certaines conditions, être mutualisé entre plusieurs entreprises.

Concrètement, le DPO constitue un atout pour comprendre et respecter les obligations en matière de protection des données à caractère personnel, dialoguer avec les autorités de contrôle et réduire les risques de contentieux et de sanctions.

S’agissant de l’étendue des missions qui lui sont attribuées, le DPO ETI et Grands groupes est chargé :

Avocat DPO ETI Grands groupes

  • d’informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
  • de contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • de dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • de coopérer avec l’autorité de contrôle ;
  • de faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, puisque le DPO doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.

Externaliser son Data Protection Officer

Externaliser son DPO, c’est bénéficier, dans le cadre d’une convention de services, d’une solution particulièrement agile et souple, qui repose sur des compétences dédiées et des prestations adaptées et performantes.

A ce titre, le cabinet propose sa propre plateforme d’outils en mode SaaS dédiés au Délégué à la Protection des Données externalisé des ETI et Grands Groupes.


Le cabinet intervient à tous les niveaux des fonctions dévolues au Data Protection Officer

Audit et cartographie des traitements

Audit et cartographie des traitements

Identification des priorités et élaboration du plan de conformité au RGPD

Identification des priorités et élaboration du plan de conformité au règlement général sur la protection des données

Elaboration et mise en place de procédures internes et d’une organisation RGPD Compliant

Elaboration et mise en place des procédures internes et d’une organisation prenant en compte les obligations issues du Règlement général sur la protection des données

Règles de gouvernance des projets

règles de gouvernance des projets

Mise en place d’une organisation et du pilotage de la documentation

Mise en place d’une organisation et du pilotage de la documentation

Elaboration et règles de gestion du registre

Elaboration et règles de gestion du registre

Audit et politique de gestion des contrats (‘Contract management’)

Audit et politique de gestion des contrats (‘Contract management’)

Politique relative aux mentions obligatoires et au consentement des personnes

Politique relative aux mentions obligatoires et au consentement des personnes (‘Consent management’)

Politique de sécurité et gestion des failles informatiques

Politique de sécurité et gestion des failles informatiques

Conduite des analyses d’impact sur la protection des données (PIA)

Conduite des analyses d’impact sur la protection des données (PIA)

Sensibilisation et formation des équipes internes

Sensibilisation et formation des équipes internes

Gestion des demandes des droits des personnes et traitement des réclamations

Gestion des demandes des droits des personnes et traitement des réclamations

Dialogue avec les autorités de contrôle

Dialogue avec les autorités de contrôle

Gestion des contrôles

Gestion des contrôles

Reporting et bilan annuel auprès des instances dirigeantes

Reporting et bilan annuel auprès des instances dirigeantes


Contact


Chloé Torres

Chloé Torres

Lexing Alain Bensoussan Avocats

Avocat, directeur du département Informatique et libertés. Elle est également le Délégué à la Protection des Données (DPO) du cabinet..

58, boulevard Gouvion-Saint-Cyr
75017 Paris
+33 (0) 6 61 24 69 22

Contacter

RGPD DPO ETI Grands groupes
Retour en haut