RGPD : est-ce une obligation d’engager un DPO ?

Depuis mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur sur l’ensemble du territoire européen. Il concerne toutes entreprises et entités qui traitent des données ou informations personnelles de résidents. Il y a de ce fait certaines obligations à respecter à l’égard de la loi. Décryptage !

Zoom sur les obligations en matière de protection de données

Les obligations des organismes vis-à-vis des données personnelles commencent au moment de la collecte. Selon le RGPD, il faut, en effet, obtenir le consentement clair des personnes. Au niveau des formulaires en ligne par exemple, il est important de mettre une case à cocher avec les explications concernant l’objet de la collecte. C’est une façon d’obtenir l’approbation en connaissance des causes des personnes. D’ailleurs, ces dernières devront aussi pouvoir jouir de leurs droits fondamentaux dont le droit d’accès, de rectification, d’oubli ou encore de portabilité. En clair, si un utilisateur demande de supprimer ses données personnelles, l’entité doit exécuter la demande.

En outre, les entreprises sont tenues de mettre en place un système de sécurité fiable pour protéger les données personnelles des personnes. La CNIL (Commission Nationale de l’Informatique et des Libertés) est très stricte à ce sujet. Toute omission ou négligence fera l’objet de lourdes sanctions. Ainsi, les organismes qui traitent et stockent des données personnelles ont tout intérêt à les crypter. Il est aussi recommandé de faire des tests d’intrusion afin de vérifier la fiabilité du système d’information utilisé. En cas d’intrusion ou de fuite de données, il faut tenir au courant le plus vite possible les autorités compétentes. Enfin, parmi les obligations en matière de RGPD, les entreprises doivent disposer d’un DPO externalisé, mais d’autres solutions sont aussi disponibles.

Focus les solutions DPO possibles pour une entreprise

Un DPO ou Délégué à la Protection des données est un expert certifié en conformité par la CNIL. Aussi appelé Data Protection Officer en anglais, c’est une personne chargée d’accompagner une entreprise dans la démarche RGPD : informer, conseiller, vérifier le respect des réglementations, etc. Elle est donc garante d’une bonne gestion et stockage des données personnelles récoltées. Pour avoir un PPO à disposition, les organismes concernés peuvent le recruter en interne, externaliser ou opter pour une mutualisation. Le premier choix semble à première vue le plus évident, mais il faut identifier le bon profil. La personne doit, entre autres, avoir une forte déontologie et posséder toutes les connaissances juridiques et techniques nécessaires.

La meilleure option est l’externalisation, surtout si une entreprise ne dispose pas des ressources adéquates. Puisque le RGPD est très exigeant, il vaut mieux confier la mise en conformité de son système d’information à un expert qui sait faire son travail. Les avantages à la clé sont un gain de temps, un renforcement de la sécurité des données stockées et une expertise de la part d’un professionnel expérimenté comme NH Conseil. Ce dernier est capable de réaliser un suivi régulier des protocoles de sécurité informatique mis en place par une entreprise. Par ailleurs, la mutualisation de DPO est un choix à privilégier pour réduire les coûts liés à l’application du RGPD. Plusieurs entreprises désignent une même personne pour s’assurer de leur conformité.