Chaque entreprise se doit de déployer une démarche DPO en son sein afin de respecter les obligations stipulées par le RGPD. Une bonne démarche DPO devrait nécessairement comporter trois volets : méthodologique, juridique et technique.
Volet méthodologique
La compréhension de la démarche de gouvernance de la donnée est la première étape. Elle nécessite pour toute entreprise de dresser son propre état des lieux et de définir sa trajectoire pour devenir conforme au règlement.
Volet juridique
Le RGPD est un texte juridique qui sera appliqué par des juristes (la CNIL) et sanctionné par des juristes. L’approche juridique est donc fondamentale. Une approche transversale, efficace et pérenne consisterait à déterminer une personne qui sera en charge des données personnelles au sein de l’entreprise et de l’associer dans les démarches de mise en place. Cette personne serait impliquée dans l’audit de l’existant et dans la détermination du « gap analysis ». Elle serait de plus associée au plan de remédiation avec chaque intervenant dans la société. Elle devrait enfin valider la rédaction de tous les documents nécessaires au RGPD tels que les contrats-types, les clauses GDPR, les clauses d’audits de sous-traitants, les cahiers des procédures, SLA (pour Service Level Agreement, ou Convention de Service en français), la modification du RI ou des contrats de travail, etc. Une fois la conformité assurée, le DPO doit être mis en capacité de remplir ses missions et notamment :
- être systématiquement impliqué par la DSI dans tout achat de logiciel,
de prestation informatique ou tout lancement de conception et
développement d’une application et tout PIA ;
- avoir des
procédures documentées et pouvoir les mettre en œuvre en pratique,
relatives aux droits des personnes concernées, aux relations avec les
autorités, aux audits annuels, à la sécurité informatique, etc.
-
valider, avant signature, toute modification des clauses GDPR dans les
contrats-types rédigés, les contrats fournisseurs, les contrats de
travail, et autres ;
- être en relation directe avec la DG et rédiger
un rapport annuel pour la DG.
Le DPO peut être un prestataire externe tel un avocat ou être un salarié en interne, avec un contrat de conseil externe le cas échéant.
Volet technique
La mise en conformité pour chaque entreprise ou institution doit passer par plusieurs étapes clés comme une claire compréhension des données personnelles détenues, leurs modes de stockage et d’utilisation. Une méthodologie structurée est nécessaire afin de répondre aux demandes des clients ou usagers sur la localisation, l’usage et l’effacement des données à caractère personnel. Les entreprises sont invitées à préparer une stratégie en amont des projets pour garantir la confidentialité des données, une meilleure coordination de chaque partie prenante et notamment des fournisseurs pouvant être amenés à traiter de la donnée pour le compte de l’entreprise en s’assurant qu’ils disposent des outils suffisants pour réduire les risques de violation. Enfin toute entreprise a intérêt à avoir une méthodologie déjà préparée en amont pour savoir répondre à toute tentative de violation de données en interne.
