Comment assurer la conformité au RGPD ?

De nombreuses entreprises tenues de se conformer au RGPD doivent nommer un data protection officer ou un DPO. Mais quels sont exactement les rôles du responsable de la protection des données et quels sont les outils RGPD nécessaires ?

Ce qu’il faut savoir sur le RGPD

Le règlement général sur la protection des données (RPGD) impose à toutes les entreprises qui collectent ou traitent les données à caractère personnel des résidents de l’UE de développer des politiques et des procédures relatives à la collecte, au traitement et à la gestion des données à caractère personnel des personnes concernées. Ce règlement exige également que des contrôles de sécurité soient mis en place pour assurer la confidentialité, l’intégrité et la disponibilité des données personnelles. La date limite pour se conformer au RGPD était le 25 mai 2018. L’une des exigences du RGPG est la nomination d’un délégué à la protection des données, dont le rôle principal consiste à surveiller la conformité.

Quelle entreprise doit avoir un délégué à la protection des données?

L’article 37 du RGPD stipule sur l’obligation de désigner un délégué à la protection des données dans une organisation. De manière générale, les grandes entreprises, celles qui emploient plus de 250 personnes, sont tenues de nommer un délégué à la protection des données. Les petites entreprises c comptant moins de 250 employés, peuvent ne pas être obligées de nommer un DPO, bien que cela dépende de divers facteurs, tels que la quantité de données à caractère personnel traitées, le traitement éventuel de données de catégorie spéciale et la nature des données.

Un délégué à la protection des données doit être nommé si le traitement est effectué par une autorité ou un organisme public. Un délégué à la protection des données doit également être nommé si les activités principales du responsable du traitement ou du sous-traitant nécessitent un contrôle systématique régulier des personnes concernées à grande échelle, ou si les activités principales d’un responsable du traitement ou du sous-traitant consistent à traiter des catégories spéciales de données à grande échelle.

Toute entreprise qui omet de nommer un délégué à la protection des données doit être en mesure de démontrer pourquoi elle n’a pas besoin de nommer un DPD. Une analyse interne doit être effectuée et la décision de ne pas nommer un délégué à la protection des données doit être expliquée, y compris les raisons. Ce document devra peut-être être fourni en cas d’audit de conformité.

Les outils RGPD

Il n’est pas nécessaire qu’un responsable de la protection des données ait des qualifications spécifiques. Il n’est donc pas nécessaire de recruter un DPO extérieur. Il existe aujourd’hui plusieurs outils RGPD qui permettent de vérifier la conformité au RGPD. Microsoft dispose par exemple d’un outil RGPD qui permet d’évaluer de façon détaillée la conformité au RGPD. Il s’agit d’un outil d’auto-évaluation rapide en ligne. Il existe de nombreux outils qui permettent de vérifier la conformité au RGPD. Grâce à ces derniers, la vérification de la conformité ainsi que l’évaluation peuvent facilement être réalisées. Par ailleurs, il est possible de nommer un personnel de l’entreprise comme délégué à la protection des données, et un groupe de sociétés peut désigner un seul délégué à la protection des données, à condition que ce dernier soit facilement accessible.

La personne désignée à ce poste doit posséder une grande expérience de la protection des données, bien connaître le RGPD et en comprendre les exigences pour que les tâches puissent être exécutées efficacement. Un employé ne peut être nommé délégué à la protection des données que si ses autres fonctions dans l’entreprise n’entraînent pas de conflit d’intérêts. Plus d’informations sur le site de my dpo solution