
Le coin du DPO vous présente ses meilleurs voeux

Le registre permet d’identifier précisément :
Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données au sein de l’organisme.
La Règlementation n’impose pas de forme précise pour ce registre, la seule obligation étant que le registre se présente sous une forme écrite, papier ou électronique.
Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité.
Parallèlement, le sous-traitant doit également tenir un registre de toutes les activités de traitement effectués pour le compte du responsable de traitement.
La tenue du registre est obligatoire pour la plupart des organismes. Il existe quelques exceptions à la tenue du registre.
Au sein de l’organisme, la tâche de la tenue du registre peut être confiée à une personne. Cela peut être confié au DPO.
La CNIL propose un modèle de registre de base permettant de répondre aux exigences principales posées par la Règlementation.
Article 30 du RGPD – Registre de traitement
Fiche sur les exceptions à la tenue d’un registre
Une analyse d’impact est un processus consistant
Cette gestion des risques pour les personnes concernées est réalisée en
Les risques à évaluer sont de trois ordres :
L’évaluation des risques se fait d’après leur vraisemblance et leur gravité
Des mesures de sécurité sont mises en place pour limiter les impacts sur la vie privée des personnes concernées et que le traitement ne présente pas de risques pour les personnes concernées.
Si le traitement présente un risque résiduel à l’issue de l’analyse d’impact, et que le responsable de traitement souhaite mettre en place le traitement, alors l’autorité compétente, la CNIL, devra être consultée.
L’analyse d’impact est obligatoire pour certains traitements de données, notamment les traitements à grande échelle de données sensibles. Alors que d’autres traitements n’en requièrent pas.
Même si elle n’est pas obligatoire, l’analyse d’impact permet de s’assurer de la conformité du traitement à la Règlementation.
Article 35 du RGPD – Analyse d’impact relative à la protection des données
DPO est l’acronyme pour « Data Protection Officer » ou Délégué à la protection des données en français. Il est chargé de mettre en œuvre la conformité de l’organisme qui l’a désigné à la réglementation sur la protection des données. Le DPO est le « chef d’orchestre » de cette conformité.
Le DPO est l’interlocuteur privilégié pour les différents acteurs : autorité de contrôle, personnes concernées, entités économiques au sein d’un organisme…
Le DPO accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité à la Règlementation.
Le DPO peut être une personne en interne chargée de cette fonction ou une personne externe avec un contrat de service. Le DPO peut être mutualisé entre plusieurs organismes du même groupe ou autorités selon la structure organisationnelle et taille.
Les missions du DPO sont déclinées en plusieurs tâches prévues par la Règlementation.
La désignation d’un DPO est obligatoire dans certains cas. Le DPO sera choisi en tenant compte de ses qualités professionnelles et de sa capacité à accomplir ses missions.
C’est un acteur clé de la règlementation relative aux données personnelles.
Article 37 du RGPD – Désignation du délégué à la protection des données
Article 38 du RGPD – Fonction du délégué à la protection des données
Article 39 du RPGD – Missions du délégué à la protection des données
Fiche sur les cas de désignation d’un DPO
La notion de sous-traitant est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement » dans le cadre d’un service ou d’une prestation.
Par exemple sont des sous-traitants : les prestataires de services informatiques chargés de l’administration, l’hébergement ou de la maintenance, les entreprises de sécurité informatique, les agences de marketing ou de communication qui traitent des données personnelles pour leurs clients…
Les sous-traitants doivent présenter des garanties suffisantes en termes de connaissances spécialisées, de fiabilité et de ressources pour satisfaire aux obligations de la Règlementation.
Un contrat devra être établi entre le responsable de traitement et le sous-traitant afin de déterminer notamment :
Le sous-traitant est soumis à des obligations similaires à celles du responsable de traitement : tenir un registre de traitements, désigner un DPO le cas échéant ou réaliser une analyse d’impact.
Article 28 du RGPD – Sous-traitant
La notion de responsable de traitement est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Cette personne va ainsi devoir fixer les objectifs du traitement et allouer les moyens humains, financiers et techniques nécessaires pour mettre en œuvre le traitement. En d’autres termes, il va décider du « pourquoi » et du « comment » s’agissant du traitement de données à caractère personnel.
Le responsable de traitement est responsable civilement et pénalement en cas de violation de la Règlementation. Dans les organisations, c’est l’entité juridique qui est le responsable de traitement. Ce responsable de traitement est incarné par le représentant légal de cet organisme afin de jouir d’un certain pouvoir au sein de l’organisme pour faire respecter la Règlementation.
Il est possible que les finalités et les moyens d’un traitement de données à caractère personnel soient déterminés par plusieurs organismes. On parlera alors de responsables conjoints de traitement.
Pour autant, le fait que plusieurs acteurs soient impliqués dans un même traitement ne signifie pas qu’ils agissent nécessairement en tant que responsables conjoints. Cette qualification implique un examen au cas par cas pour chaque traitement.
Article 4 du RGPD – Définitions
Article 24 du RGPD – Responsabilité du responsable de traitement
Article 26 du RGPD – Responsables conjoints de traitement