Référent RGPD (ou DPO) : rôle, missions et formation

Avec la nouvelle réglementation pour la protection des données personnelles au niveau européen, les entreprises doivent assurer un traitement des données conforme aux exigences.

Cela suppose de coordonner les activités de sécurité des données. C’est le rôle du référent RGPD de l’entreprise.

sommaire

Quel est le rôle et quelles sont les missions d’un référent RGPD ?

Le référent RGPD, ou référent de garantie de protection des données personnelles, est chargé de veiller au respect des obligations des contrôles et des procédures RGPD au sein d’une entreprise.

Principalement, le référent RGPD agit en tant que point de contact entre l’entreprise et les autorités de contrôle.

Il est chargé de vérifier le respect des droits des personnes et de prévenir les risques de violation des données personnelles.

Il peut s’agir d’un salarié ou d’un consultant extérieur.

Le référent RGPD a pour missions :

Assister les entreprises dans la mise en œuvre des procédures et des processus nécessaires à la protection des données personnelles.
Conseiller la direction en matière de règlements applicables à la protection des données personnelles.
Évaluer et suivre les procédures mises en place.
Gérer les demandes de droit d’accès, de rectification et d’opposition des données personnelles.
Informer et former les employés de l’entreprise sur les bonnes pratiques et les obligations en matière de protection des données personnelles.
Surveiller et signaler tout risque lié à la protection des données.
Veiller à ce que les règles de protection des données personnelles soient appliquées

Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Site Web ? Assistance ou un besoin spécifique ?

Comparer 3 devis Gratuits ICI

Qu’est-ce que le RGPD ?

Le RGPD est une réglementation de l'Union européenne (UE) adoptée en 2016 et entrée en vigueur en mai 2018.

Le RGPD (Règlement de protection des données) concerne tous les organismes qui procèdent au traitement de données à caractère personnel. Cela concerne donc les entreprises, quelle que soit leur taille, du fait qu'elles collectent et traitent des données des employés, fournisseurs et clients.

Les entreprises sont donc soumises à une obligation générale de sécurité et de confidentialité qui suppose des mesures de sécurité des locaux et des systèmes d'information

La collecte des données à caractère personnel doit être minimale, autorisée et leur accès réservé aux personnes désignées, avec une durée raisonnable de conservation.

Les entreprises doivent notamment :

Recueillir l'accord préalable des clients
Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées
Indiquer une durée de conservation des données
Etc.

En France, la réglementation RGPD est suivie par la CNIL (Commission Nationale de l'Informatique et des Libertés).

Quelles sont les lois encadrant le RGPD pour les entreprises ?

Règlement (UE) 2016/679 du 27 avril 2016
Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
Loi n°78-17 du 6 janvier 1978 - Informatique et libertés
Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
Code de la consommation : articles L224-42-1 à L224-42-4
Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi de 1978 relative à l'informatique, aux fichiers et aux libertés

Quelles sont les différences entre DPO et référent RGPD ?

Aucune. Le référent RGPD est aussi le DPO (Data Protection Officer) de l’entreprise.

Cette mission peut être tenue par des collaborateurs internes ou externes à l’entreprise.

Besoin d'aide dans la gestion de votre CSE ?Formation & Assistance ICI

Est-ce obligatoire pour toutes les entreprises d’avoir un référent RGPD ?

Il est obligatoire de désigner un DPO ou référent RGPD pour :

Les entreprises du secteur public
Les entreprises dont l’activité principale amène un suivi régulier et systématique de personnes à grande échelle
Les entreprises dont l’activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.

À noter : Les entreprises de moins de 250 employés qui échappent à ces catégories doivent simplement se conformer au RGPD et bien souvent, ce sera un représentant de la direction ou le responsable informatique qui agira de fait comme DPO.

Quelles sont les compétences attendues pour un référent RGPD ?

Le référent RGPD ou DPO est un professionnel capable de :

Avoir une expertise en matière de législations et pratiques
Avoir une bonne connaissance du secteur d'activité et des systèmes d'information (chiffrement, authentification forte, traçabilité, tests de pénétration, attaques Dos, base de données, Cloud, cookies, Machine learning, API, etc.)
Avoir une position efficace en interne
Pouvoir animer une équipe d'experts en interne.

De par ses responsabilités, le référent RGPD sera considéré comme cadre.

La plupart des référents RGPD sont issus de formations continues dans le domaine juridique ou informatique. Il a besoin de compétences en gestion de projet et de communication.

Dans les grandes entreprises, cette fonction sera également une fonction de supervision d’équipe.

Le DPO devra être idéalement certifié sur la base du référentiel de compétences de la CNIL. Cette certification n’est accessible qu’après 2 ans d’expérience professionnelle en lien avec la protection des données, ou 2 ans en tout domaine et une formation sur le sujet d’au moins 35 heures. Elle est valable 3 ans.

Attention : il est essentiel que le référent RGPD n’ait pas de conflit d'intérêts entre les intérêts de l’entreprise et ceux des propriétaires des données et de l’application du RGPD. La déontologie et la transparence sont essentielles.

Le référent RGPD (ou DPO) n’est pas personnellement responsable en cas de manquement aux obligations prévues par le RGPD. C’est l’entreprise qui est responsable du respect du RGPD.

Quelles sont les formations RGPD disponibles ?

La plupart des organismes de formation spécialisés proposent un vaste catalogue de formation RGPD, par niveaux (débutant, confirmé, spécialiste). On peut lister :

Bonnes pratiques du RGPD
Fondamentaux du RGPD
Formation au rôle du Délégué à la Protection des Données (DPO)
Formation au rôle du référent RGPD
Gérer les Consentements
Gérer une Violation de Données
Instaurer une Politique de Privacy By Design/By Default
Le Télétravail et le RGPD
Objectif Certification DPO
Réaliser une Analyse d’Impact
Registre de traitements
Se préparer à un Contrôle de la CNIL
etc.

Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Site Web ? Assistance ou un besoin spécifique ?

Comparer 3 devis Gratuits ICI

Exemples de bonnes pratiques du RGPD.

Le code de conduite et les bonnes pratiques en matière de RGPD s’appuient sur des principes fondamentaux de respect et de protection de données personnelles et confidentielles.

Parmi les bonnes pratiques il est recommandé :

De former les collègues dans l'entreprise aux exigences RGPD
De prévoir un mécanisme de gouvernance RGPD à l’échelle de l’entreprise
De procéder à des actions de communication et de sensibilisation
De rédiger et tenir un registre des activités de traitement ;
De rédiger un code de conduite à l’attention de chaque nouvel employé, selon son accès aux données
De mettre en place un «comité RGPD» chargé d’arbitrer et d’orienter les actions concernant les traitements de données
De mettre en place des réunions et outils de suivi sur les données recueillies et traitées par l’entreprise et la finalité de cette manipulation des données
De notifier immédiatement la direction de l’entreprise et les organismes compétents des violations
De s’assurer que tout le monde adhère au code de conduite en matière de données
De tenir un tableau de bord des activités menées, afin d’alimenter un point régulier
De travailler en collaboration avec la CNIL et de consulter régulièrement ses communications
D’organiser des veilles si nécessaire
D’organiser régulièrement des consultations avec les professionnels du secteur technique et juridique.
De prévoir une procédure interne en cas de contrôle de la CNIL
De se tenir de manière continue au courant des avancées technologiques et informatiques et notamment des méthodes d’usurpation ou de vol de données

Nos autres articles

Tout savoir sur le local du CSE (2024)

Prêt aux salariés en difficulté par le CSE : est-ce possible ?