Les journées du DPO ne se ressembleront évidemment pas mais voici tout de même un exemple de ce que peut être son quotidien, rédigé d’après notre expérience de DPO externe et de conseil auprès de DPO internes à notre clientèle :

9h

Consultation de l’adresse mail de l’entreprise dédiée à la protection des données. Une personne a formulé une demande d’accès à ses données. Suivant l’organisation définie, le DPO s’assure que la date de réception de la demande est bien enregistrée et vérifie qu’il dispose des informations nécessaires pour qu’une réponse adéquate y soit apportée dans le délai d’un mois. A défaut, il doit demander des informations supplémentaires à la personne concernée.

Point pratique

Suivant l’organisation définie, le DPO pourra répondre par voie électronique à la demande sauf communication contraire de la personne. Par un système de marquage et de comptabilisation, le DPO pourra voir si cette personne a déjà effectué une demande et ainsi identifier un éventuel caractère répétitif de la demande.

En cas d’inaction ou de refus de la demande, il est nécessaire de communiquer, dans le délai d’un mois, les motifs de cette inaction et d’indiquer la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

10h

Début de la réunion de sensibilisation générale du personnel de l’entreprise aux enjeux du RGPD.

Une fiche de recueil des besoins, destinée à contenir les caractéristiques des traitements de données envisagés, est distribuée.

Point pratique

Cette sensibilisation et la fourniture d’une telle fiche permet d’assurer la visibilité du DPO et de l’intégrer dans les projets relatifs au traitement de données afin qu’il puisse notamment fournir ses recommandations.

Cette réunion pourra être l’occasion d’annoncer la mise en place de prochaines réunions spécialisées et adaptées aux différents métiers de l’entreprise.

13h30

Le responsable de traitement souhaite mettre en place un contrôle de la surveillance de l’activité des salariés dans l’entreprise. Il demande au DPO son avis sur la nécessité de réaliser une analyse d’impact relative à la protection des données.

Point pratique

Le DPO est intégré aux questions relatives à la protection des données et peut apporter son expertise dans ce cadre. En revanche, si le responsable de traitement ne suit pas son avis, le DPO n’est pas responsable en cas de non-conformité résultant du refus de réaliser ladite analyse.

formation-rgpd-prospection-mathias-avocats

14h : Examen du registre des activités de traitement

La tenue du registre est une obligation du responsable de traitement mais cette mission peut être confiée au DPO. Après recensement des traitements, le DPO remarque qu’il lui manque des informations. Il sollicite les personnes en charge du traitement pour obtenir des informations supplémentaires et ainsi tenir un registre complet.

16h30

Après analyse des documents présentant les caractéristiques du traitement projeté (finalité, base juridique etc.), le DPO considère qu’une analyse d’impact doit être réalisée. Sur demande, le DPO aide le responsable de traitement à la réaliser et vérifie son exécution. Il pourra faire appel aux personnes qui auront un rôle à jouer dans cette réalisation (RSSI, direction juridique, équipes métiers etc.).

17h30

Révisant les politiques et procédures relatives à la protection des données au sein de l’entreprise, le DPO réalise qu’aucune politique ne concerne la formation des équipes en cas de contrôle de la CNIL. Le DPO commence à ébaucher une telle politique afin de déterminer les personnes à informer lors de l’arrivée des agents, constituer une « équipe d’inspection » incluant les principaux responsables pour gérer le contrôle etc.

Découvrez la vidéo de présentation de notre ouvrage consacré au DPO paru aux Editions de la Revue Banque.

L’objectif de cet ouvrage est de présenter de manière opérationnelle le profil et les missions du DPO à la lumière du RGPD, des recommandations de la CNIL, du G29 et de l’expertise des auteures. Quelles responsabilités ? Quels moyens ? Quelles garanties d’indépendance ? Quel écosystème ? Cet Essentiel propose des recommandations pratiques permettant aux intéressés de s’approprier le rôle du DPO, quelle que soit la taille de l’entreprise.