Depuis 2018, les entreprises et organismes publics traitant des données à caractère personnel sont soumises au respect du RGPD, le règlement sur la protection des données. Cette règlementation européenne est entrée en application afin de protéger les données à caractère personnel de tout individu. Toutes les organisations de l’Union européenne sont concernées, petite ou grande, publique ou privée. En cas de contrôle de la CNIL, l’instance française de protection des données, mais également pour préserver son image et la confiance de ses clients, il est important d’être en conformité. C’est là qu’intervient le chef d’orchestre de la conformité : l’expert RGPD.
Expert RGPD : qu’est-ce que c’est ?
L’expert RGPD joue un rôle central pour s’assurer que les entreprises sont bien conformes aux normes du RGPD. Aussi appelé DPO ou « délégué à la protection des données », c’est un professionnel des règlementations sur la protection des données personnelles : il connait l’ensemble des bonnes pratiques à mettre en place pour respecter le règlement européen. En effet en France, les organisations ne peuvent pas collecter les données des individus de n’importe quelle manière, sans leur consentement ou autre fondement légal, et les exploiter par la suite. A ce titre, il joue un rôle de conseiller, et assiste les différents services des sociétés dans leur démarche de conformité.
Les missions de l’expert RGPD
Le consultant RGPD doit en priorité assister son client ou son entreprise dans sa démarche de conformité. Cet accompagnement s’articule en de nombreuses missions connexes. Pour que l’entreprise s’améliore et s’aligne avec les obligations RGPD, il effectue des audits, c’est-à-dire des diagnostics de conformité sur la gestion des données personnelles par l’établissement. Le DPO peut également faire le lien avec la CNIL si nécessaire, et il est capable de sensibiliser les différents services de l’entité aux enjeux éthiques de la protection et du traitement des données personnelles. Il est essentiel que cet acteur soit également conscient des aspects commerciaux : il doit favoriser un juste équilibre entre les objectifs business de l’entreprise, et rester aligné avec la règlementation européenne.
Qu’est-ce qu’un audit RGPD ?
L’expert RGPD réalise donc des audits, un état des lieux neutre et objectif. Ces sessions de vérification de la conformité ont pour but de s’assurer que l’organisation respecte bien les dispositions sur la conservation des données personnelles, et, si ce n’est pas le cas, proposer des solutions pour s’aligner avec la règlementation. Le consultant vérifie les bonnes pratiques du responsable du traitement des données, ou du sous-traitant procédant au traitement des données. L’audit RGPD est indispensable en cas de contrôle de la CNIL, afin d’anticiper et d’éviter des sanctions éventuelles.
Les compétences nécessaires au métier d’expert RGPD
Au-delà de sa connaissance du/des secteur(s) d’activité de ses clients ou de son entreprise, le délégué à la protection des données (DPO) a des savoirs techniques, organisationnels et juridiques pointus. Il doit connaître l’ensemble du règlement sur la protection des données et savoir s’il existe des règlementations spécifiques au secteur d’activité. Il est capable de mettre en pratique ses connaissances dans un contexte professionnel parfois très varié. Par exemple, il peut aussi bien travailler pour des sociétés qui gèrent de la logistique que des entreprises du secteur de la santé, qui manient des données sensibles avec des règlementations particulières.
Mais cette profession ne demande pas que des qualifications techniques, l’expert RGPD doit également avoir des compétences relationnelles car il est continuellement au contact de ses clients et des différents services des entreprises, par exemple pour les sensibiliser sur les enjeux éthiques du RGPD. Il est disponible, réactif, bon communicant, à l’écoute et pédagogue, car ses interlocuteurs ne sont sûrement pas experts dans ce domaine.
La formation du métier de consultant RGPD ne s’arrête pas à la sortie d’études. Le monde informatique et technologique évolue très rapidement et ses règlementations aussi. C’est pourquoi le DPO doit se tenir constamment informé des mises à jour du RGPD et savoir se remettre en question.
Pour attester de son expertise et rassurer sur sa crédibilité, l’expert RGPD peut acquérir une certification des compétences du DPO (Data Protection Officer), délivrée en France par des organismes agréés par la CNIL. Cette obtention n’est pas obligatoire pour exercer le métier mais est recommandée car elle justifie son expérience et ses compétences.
Comment devenir expert RGPD ?
L’expert RGPD évolue soit pour une entreprise ou tout entité particulière, soit via un prestataire externe. Chez dposystem, nous recrutons des consultants RGPD sur la base de leurs compétences et de leur aisance sur les outils informatiques de conformité RGPD. La certification des compétences du DPO n’est pas obligatoire lors du recrutement, mais nos experts sont tenus de l’obtenir une fois dans l’entreprise car elle garantit le savoir-faire.
Est-il obligatoire d’avoir un DPO dans une organisation ?
Pour assurer le respect du traitement des données, les entités peuvent être tentées de désigner un de leur collaborateur pour réaliser cette mission, en plus de ses tâches habituelles. Mais le Délégué à la Protection des Données cumulant déjà de nombreuses missions, il est important que ce dernier occupe un poste à part entière, notamment dans les grandes entreprises.
Certaines entités ont l’obligation de désigner un DPO :
· Les organismes du secteur public, telles que les ministères ou les collectivités territoriales.
· Les entreprises faisant un suivi régulier et systématique de personnes à grande échelle, comme les banques ou les opérateurs téléphoniques.
· Les sociétés traitant des données sensibles, c’est-à-dire des données concernant l’origine d’une personne, sa génétique, ses opinions politiques ou syndicales, ou encore ses informations de santé.
Si ces organisations ne désignent pas de DPO, elles s’exposent au risque de contrôle de la CNIL et donc à des sanctions éventuelles, une amende pouvant s’élever jusqu’à 20 millions d’euros pour les manquements les plus graves. De plus, les sanctions peuvent être indirectes car les clients perdent toute confiance envers l’entreprise.
Le RGPD s’applique à de nombreuses sociétés privées, et même pour celles pour qui le DPO n’est pas obligatoire, il est essentiel de se prémunir du risque de sanction en désignant un expert RGPD, interne ou externe à l’entreprise. L’externalisation du DPO permet d’avoir un expert complètement indépendant et objectif, qui n’est pas tenté de prioriser d’autres tâches que la mise en conformité, et qui est tenu par une obligation de confidentialité.
Comment obtenir une certification RGPD ?
Votre entreprise est concernée par le RGPD et la sécurité des données ? Alors vos services, vos logiciels, vos processus ou vos systèmes peuvent être « certifiés RGPD ». Vous l’avez compris, pour que les clients aient totalement confiance en vos produits, la protection des données sensibles collectées est cruciale. La certification RGPD n’est pas obligatoire, mais si vous souhaitez l’obtenir et pensez y être éligible, vous pouvez vous tourner vers les organismes agréés par l’autorité française de contrôle, la CNIL, ou son équivalent européen, la CEPD, qui effectueront un contrôle pour vérifier les critères de conformité sur l’objet de la certification. Pour vous aider à obtenir cette certification, l’expert RGPD vous accompagne et vous assiste dans la mise en conformité de la société et de vos processus.
Dposystem : votre expert RGPD pour une mise en conformité pérenne
Avec une approche à la fois technique et juridique, Dposystem by Netsystem se charge de votre mise en conformité RGPD pour se prémunir des sanctions liées au non-respect de la protection des données à caractère personnel. Nos consultants se tiennent à votre disposition pour vous accompagner dans la compréhension de la règlementation européenne ou dans l’obtention d’une certification RGPD. Vous souhaitez en savoir plus sur Dposystem ? Contactez-nous !
