Lille / Paris / Nice

DPO externe Consulting est un cabinet proposant des services d’externalisation de la fonction de Data Protection Officer (DPO) et de prestations liées à ces activités. En choisissant DPO externe, vous faîtes le choix de travailler avec des professionnels de la protection des données personnelles travaillant ou ayant travaillé au sein des plus grands groupes français et internationaux.

Nos Data Protection Officers cumulent des expertises indispensables à la bonne exécution de leurs missions : juridiques, techniques (et notamment de système de management de la sécurité des systèmes d’informations), organisationnelles, d’analyses et d’appréciation des risques.

Le Data Protection Officer (DPO)

Une nouvelle fonction

Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est une nouvelle fonction instaurée par le Règlement général sur la protection des données (RGPD). Le DPO succède d’une certaine manière au CIL (Correspondants Informatique et Libertés) dont la désignation restait jusqu’alors facultative et dont les obligations étaient plus restreintes.

2018 : fonction obligatoire
C'est à partir du 25 mai 2018 que le Data Protection Officer devient obligatoire. Isabelle Falque Pierrotin, Présidente de la CNIL, estime que 80 000 entités devront désigner un DPO cette année-là.
2016 : 4 729 CILS désignés
En tout, ce sont 17 725 entités qui ont désigné un Correspondant informatique et libertés.
2004 : Création du CIL
Sous l'impulsion d'Alex Türk, ancien Président de la CNIL, et de Dominique Perben, ancien Garde des Sceaux.

Quand est-ce que la nomination d’un  DPO est obligatoire ?

A partir du 25 mai 2018, date d’entrée en application du Règlement général relatif à la protection des données personnelles (RGPD), un grand nombre d’entités privées comme publiques seront dans l’obligation de nommer un Data Protection Officer (DPO) au sein des pays de l’Union européenne.

Lors du traitement de données sensibles à grande échelle

Données relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques, à l’appartenance syndicale, etc.
Ou en cas de suivi régulier des données d’un individu
Ce suivi systématique doit être opéré à grande échelle. La notion de « grande échelle » est interprétée strictement par le G29.

Exemple : un hôpital ayant une activité normale est considéré comme réalisant des traitement à grande échelle.

 

Ou pour l’ensemble des organismes et autorités publiques
Le G29 recommande également que les personnes privées en charge de missions de service public désignent un DPO.

Exemples  d’entités particulièrement concernées

Bien que chaque cas soit singulier, certains secteurs, de par leur structuration et la nature même de leurs activités, peuvent difficilement échapper à l’obligation de désigner un Data Protection Officer.
Banque, assurance, courtier

De par leur nature, ces sociétés réalisent des traitements à grande échelle de données sensibles et/ou un suivi d’individus.

Éditeur d’application

Les traitements effectués par une app (géolocalisation, suivi de comportement, etc.) peuvent être assimilées à du suivi systématique d’individus.

Distribution, e-commerce

Que ce soit en ligne ou hors-ligne, ce secteur réalise quasi-systématiquement un suivi d’individus (cartes de fidélités, online tracking, etc.)

Enseignement, aide scolaire

Même s’ils sont privés, ces établissements sont amenés à réaliser des suivis systématiques et réguliers de leurs étudiants. 

Mairie, musée, centre administratif

Par nature, l’ensemble des autorités ou organismes publics doivent désigner un DPO. 

Régie publicitaire, Data broker

Leur coeur d’activité consistant en du traitement de données d’individus à grande échelle.

Éditeur de solution SaaS

Les éditeurs cumulant plusieurs clients, la notion de « grande échelle » leur est rapidement applicable, y compris en leur qualité de sous-traitant.

HÔPITAL, CLINIQUE, CENTRE DE SOIN

Ces établissements traitent par nature des données sensibles (de santé notamment) et ce à grand échelle.

DPO,
Chef d’orchestre
de la conformité

Il existe plusieurs façon de concevoir les rôles et missions d’un Data Protection Officer. Bien entendu, un DPO peut se limiter à réaliser les missions lui incombant strictement eu égard aux dispositions réglementaires. Mais avec une telle approche, le responsable de traitement (en pratique, l’entité ou son dirigeant) devra accomplir complémentairement de très nombreuses missions pour assurer la conformité de ses activités. C’est pourquoi les missions du DPO vont souvent plus loin que celles fixées par la loi. En se positionnant en « chef d’orchestre », le DPO est en mesure de fournir toute l’aide adéquate afin d’accompagner une entité dans le respect complet des obligations réglementaires lui incombant en matière de traitement de données personnelles. Et ainsi participer à la minimisation de tout risque de sanctions.

Les indispensables  compétences du DPO

Pilotage
Le DPO doit être en capacité de mener des projets en coordonnant des Hommes et des ressources.
Juridique
Le RGPD impose que le DPO dispose de connaissances en matière de réglementations sur la protection des données personnelles.
Sécurité des systèmes d’informations
Les enjeux de sécurité sont essentiels en matière de conformité des traitements de données personnelles.
Risques
Savoir analyser et apprécier les risques que présente la manipulation de données est au coeur des études d'impacts sur la vie privée.
Les
risques de
sanctions

La somme la plus élevée est retenue pour les infractions au Règlement Général sur la Protection des Données (RGPD). Le fait de ne pas désigner un Data Protection Officer, pour une entité disposant d’une telle obligation, est puni d’une amende administrative maximale de 2% du CA mondial de l’exercice précédent ou de 10 000 000 d’€ (somme la plus élevée). Il existe par ailleurs des risques de sanction en matière pénal, civil (réparation du préjudice subit) ainsi que des risques d’image et de réputation.

Les sanctions administratives sont prononcées en prenant dûment compte du contexte de la violation : sa gravité, l’existence ou non de précédentes violations, le degré de coopération de l’entité, etc.

4% CA

Les violations au Règlement peuvent entrainer des amendes administratives allant jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent d’une entité.

20 M€

Les violations au Règlement peuvent entraîner des amendes administratives allant jusqu’à 20 000 000 d’euros.

Les services

DPO externe propose des offres adaptées aux besoins de chaque entités. Les offres détaillées ci-dessous sont valables pour des TPE et PME, c’est à dire des structures ne dépassant pas 250 salariés et/ou dont le chiffre d’affaire n’est pas supérieur à 50 millions d’euros. Des formules d’accompagnement sur-mesures sont proposées aux autres entités et notamment aux grands comptes disposant de besoins parfois ponctuels.

   Intégré à l’offre

   Option intégrable à l’offre sur demande

   Ne peut pas être intégré à l’offre

Offres
DPO
externe
Désignation du DPO externe auprès de l’autorité de contrôle
Point de contact des autorités de contrôle (notamment en cas de plainte)
Assistance en cas de contrôle d’une autorité de contrôle (la CNIL en France)
Assistance pour toute interrogation liée aux données personnelles
Assistance lors de la réalisation d’études d’impacts sur la vie privée
Etude de la conformité des traitements de nouveaux projets
Préparation et présentation de dossier auprès de l’autorité de contrôle
Audit de la conformité des traitements mis en oeuvre
Sécurisation contractuelle (clauses « privacy », négociation, etc.)
Tenue du registre des activités de traitement de données
Gestion du droit des personnes (demandes d’accès, suppression, portabilité, etc.)
Déploiement de procédures (violation de données, droit des personnes, etc.)
Formation e-learning aux enjeux de « privacy »
Formation présentielle aux enjeux de « privacy »
Emission d’une veille informative sur la « privacy »
Basique
Le strict nécessaire
139€ HT
par mois*
Assistance e-mail pour des questions non spécifiques à une organisation
Intermédiaire
On s'empare du sujet
249€ HT
par mois*
Assistance e-mail y compris pour des questions spécifiques à une organisation
1 journée / an (frais de déplacement non inclus)
Tarifs préférentiels sur des solutions co-développées avec DPO externe
Avancée
En route vers la conformité
599€ HT
par mois*
Assistance e-mail avec garantie de réponse dans les 48 heures
Compris dans la limite de l’étude de 8 projets par an
2 journées / an (frais de déplacement non inclus)

*Engagement minimum d’un (1) an.