DPO : par où commencer ?
Vous venez d'être désigné délégué à la protection des données. Quelles devront être vos premières actions ? Par où commencer ?
En tant que « chef d’orchestre » de la conformité en matière de protection des données au sein de l'organisme qui vous a désigné, vous serez principalement chargé de :
- informer et conseiller l'organisme qui vous a désigné, ainsi que ses employés ;
- contrôler le respect du règlement et du droit national en matière de protection des données ;
- conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et en vérifier l’exécution ;
- être l’interlocuteur des personnes concernées pour les questions relatives à la protection des données personnelles ;
- coopérer avec la CNIL et être son point de contact.
-
Pour commencer
S’informer
Rassembler la documentation juridique essentielle : le cadre européen (règlement général sur la protection des données ou RGPD, lignes directrices du comité européen à la protection des données ou CEPD…), le cadre national (loi Informatique et Libertés, décrets d’application…), et les décisions de la CNIL (recommandations, bonnes pratiques …).
Organiser une veille sur les sujets touchant aux données personnelles (juridique, technique, sociétal, sectoriel,etc.) et à la sécurité des systèmes d’information (ANSSI, CLUSIF, etc.). La CNIL publie également sur son site un certain nombre de fiches pratiques et d’actualités que le délégué peut consulter.
Se faire connaître
Vérifier que les personnes concernées (employés, clients, usagers, étudiants, etc.) peuvent facilement vous joindre (adresse email dédiée, formulaire de contact, ligne téléphonique, etc.)
Élaborer un plan de communication interne pour informer l’ensemble des employés de votre rôle en tant que DPO, de votre statut et de vos futurs chantiers. Vous pouvez notamment vous appuyer sur votre lettre de mission (un modèle de lettre de mission est disponible dans le guide du DPO).
Rencontrer les interlocuteurs internes et les directions avec qui vous serez amené(e) à collaborer dans le cadre de vos missions.
Utiliser le logo « DPO – délégué à la protection des données », disponible pour les communications internes et externes des DPO désignés auprès de la CNIL. Proposés sous plusieurs formats selon les besoins, ses modalités d’utilisation sont strictement prévues dans le règlement d’usage.
-
Piloter la conformité
Découvrez les différentes étapes clés de la démarche de mise en conformité que vous pouvez suivre :
- Cartographier les traitements
- Prioriser les actions à mener
- Gérer les risques
- Organiser les procédures internes
- Documenter la conformité
La conformité d’un organisme au RGPD est une démarche permanente et dynamique qui ne doit pas se limiter aux premiers jours de la prise de fonction du DPO.
-
Diffuser la culture au sein de l'organisme
Structurer et animer son réseau
En interne :
- identifier une personne relais pour chaque direction métier ou filiale ;
- communiquer efficacement sur leur présence et leur rôle ;
- réunir régulièrement vos relais pour échanger et piloter les actions en cours.
En externe :
- se rapprocher des DPO du même secteur d’activité ou d’une même zone géographique (associations de DPO, fédérations professionnelles, associations d’élus, etc.) ;
- mutualiser l’expérience et les difficultés pour diffuser plus largement les solutions et les bonnes pratiques.
Sensibiliser les collaborateurs
Initier une réflexion globale sur la mise en place d’une politique et de procédures relatives à la protection des données dans votre structure (exemples : politique cadre, charte d’utilisation des ressources informatiques, procédure de gestion des droits, des violations de données).
Identifier les publics cibles en interne et les éventuels besoins particuliers en fonction des services (exemples : activités marketing, ressources humaines).
Créer des contenus thématiques (exemples : fiches pratiques, vidéo(s) de présentation, « serious game »).
