Pour bien organiser son activité, le délégué va d’abord évaluer la situation dans laquelle l’entreprise se situe: il va regarder comment se situe l’entreprise par rapport aux obligations à respecter, à l’organisation en place et aux moyens dont il va disposer ou dont il dispose déjà, à l’existence ou non, d’une gouvernance de la protection des données personnelles.
À partir de toute cette analyse, il va établir une liste des écarts et il va déterminer les activités qu’il convient de mettre en œuvre, donc évaluer en temps, en charge, en moyens éventuellement financiers, et les prioriser.
Une fois qu’il a fait ce travail, il va pouvoir exercer son activité.
Communication du DPO
La première des choses, est que ce DPO soit connu par tous dans l’entreprise, pour se faire il faut d’abord, et régulièrement, mener des actions de communication.
La première action va être lors de sa nomination où il faut qu’il se fasse connaître.
Ensuite, il va s’occuper de l’organisation de la gouvernance. Le personnel de l’entreprise qui participe aux opérations de traitement doit être informé et sensibilisé. C’est une des obligations du règlement européen.
Bien évidemment, il est nécessaire que le DPO se forme sur la réglementation de la protection des données personnelles, sur les évolutions technologiques, il faut qu’il soit au fait du digital, de tout ce qui se passe dans l’environnement de l’entreprise.
Il faut également qu’il soit au fait des métiers exercés par son entreprise, puisque son métier va dépendre de ce qui est fait, des traitements mis en œuvre, et celà dépendra également, s’il en existe, des règles internes à son entreprise.
Afin de permettre cela, il est important que le DPO mette en place des moyens de communication au sein de son entreprise, ça peut être par exemple un espace dédié sur un serveur ou sur un intranet, internet, etc., une communication, un outil de e-learning qu’il va proposer à l’ensemble des collaborateurs.
Relais en interne
Si l’entreprise est assez importante ou si elle est localisée dans plusieurs sites de plusieurs endroits en France, par exemple, le délégué peut décider et demander à ce que des personnes relais soient désignées pour qu’il puisse s’appuyer sur ces personnes.
À ce moment-là, il va devoir les former et veiller à ce que leurs connaissances soient régulièrement actualisées.
Il va également formaliser les missions qu’il va leur déléguer et donc, faire en sorte que ces missions soient intégrées dans leur fiche de poste pour qu’ils aient du temps qui leur soit attribué pour les exercer.
Il faut également qu’il soit capable, lui-même, de leur apporter le soutien et animer ce réseau avec de l’échange, par exemple, au travers de réunions périodiques, au travers de communications, etc.
Enfin, pour superviser le tout et être informé des travaux qu’ils réalisent, il va mettre en place un reporting périodique auprès de lui-même.
Conseil
Le délégué à la protection des données doit conseiller le responsable de traitement ou le sous-traitant, sur l’environnement dans lequel il travaille, sur les obligations du règlement et sur toutes les dispositions qui s’appliquent en matière de protection des données personnelles.
Pour ce faire, il peut élaborer des outils pratiques sur certains sujets et les diffuser, ou alors il peut utiliser des outils qui sont mis à disposition, par exemple par la CNIL: des fiches pratiques, des guides.
Il doit demander à être informé de tout ce qui se passe dans l’entreprise, tous les traitements mis en œuvre, tous les nouveaux projets.
Dans cette perspective, il peut proposer au responsable de traitement, puisque ça devra être fait, une méthode pour faire une analyse d’impact, une analyse de risques, par exemple.
Il peut aussi mettre en place une procédure afin d’être saisi systématiquement, quand cela va être nécessaire, en matière d’analyse d’impact, et il va, dans cette procédure, prévoir son rôle vis-à-vis de la CNIL, puisque, si c’est nécessaire, la demande de consultation de la CNIL devra passer par le DPO. Il convient donc, que le responsable de traitement connaisse la façon de procéder.
Traçabilité
Dans tous les cas, le délégué à la protection des données doit garder une trace de tous les conseils qu’il va apporter pour documenter ce qu’il fait, et puis également noter toutes les décisions qui sont prises par le responsable de traitement ou le sous-traitant, surtout s’il leur apporte un conseil et qu’eux décident de faire autrement.
Tenue du registre des traitements
En matière de traitements, il est important que le délégué à la protection des donnée ait une vision de la cartographie des traitements mis en œuvre dans l’entreprise : quels outils servent à quoi ? Pour quoi faire ? Qui y a accès ? Comment les outils communiquent les uns avec les autres ?
Il lui incombe donc de tenir un registre des traitements.
Comme le registre, en général, contient beaucoup de traitements, le délégué peut se doter d’un outil pour les répertorier et enregistrer toutes les informations nécessaires.
Cet outil va pouvoir être mis à disposition du responsable de traitement ou du sous-traitant, puisque c’est eux qui ont cette responsabilité; sauf que dans certaines entreprises, le responsable de traitement ou le sous-traitant décide de déléguer au DPO la tenue du registre.
Il peut également décider de le partager avec le réseau de correspondants relais, puisqu’ils sont là pour l’aider dans ses missions.
Dans ce cas, il sera important qu’il mette en place une procédure pour que ce responsable de traitement lui décrit les traitements, les risques associés aux traitements et les mesures qu’il envisage de prendre, de façon formelle.
Dans tous les cas, il est important que la documentation associée à chaque traitement soit bien organisée, centralisée et actualisée, que l’analyse de risque, les descriptions des données et des destinataires et toute la documentation se trouvent au même endroit, qu’on puisse y accéder facilement, et surtout, qu’elle soit.
Saisie du DPO
Le règlement confère aux personnes dont on traite les données, le droit de demander et saisir le DPO.
Il est donc important que ces personnes aient un moyen de le faire.
Le DPO doit à cet effet, mettre en place un moyen qui permette aux personnes de le contacter; ça peut être une adresse e-mail, ça peut être une messagerie, une adresse postale, un numéro de téléphone, etc. et les personnes vont pouvoir le saisir, lui poser des questions.
Le délégué va proposer au responsable de traitement ou au sous-traitant également des mentions informatives, dans lesquelles sont précisés qui est le DPO et comment le contacter.
Le délégué va également établir une procédure pour répondre aux demandes, celles qu’il va recevoir lui-même, mais également, pour celles que le responsable de traitement ou le sous-traitant reçoit, et s’assurer que les droits de ces personnes sont respectés.
Sécurité
En matière de sécurité, le DPO doit s’assurer que la sécurité des données est bien prise en compte, et souvent, le responsable de la sécurité des systèmes d’information, est en charge de toutes ces mesures de sécurité, de la logistique, etc..
Il est donc, très important que le DPO travaille en étroite collaboration avec le RSSI de l’entreprise.
Si elle n’existe pas, il peut proposer au RSSI d’établir une politique de sécurité des systèmes d’information et le DPO peut y contribuer.
On a parlé de la cartographie des traitements dans le cadre de la tenue du registre, et le DPO doit également savoir où sont localisés les traitements, où sont localisées les données, comment se passe l’organisation pour la mise en œuvre de ces traitements, qui fait quoi, qui gère les habilitations, qui gère l’exploitation, l’hébergement, est-ce qu’il y a de la sous-traitance ou non.
Si le DPO établit et diffuse des procédures pour traiter, par exemple, les demandes de droits d’accès, il aura une assurance que ces demandes seront traitées toujours de la même façon dans tels délais, puisque des délais sont imposés, en l’occurrence un mois.
Il pourra également prévoir des procédures en cas de contrôle de l’autorité de contrôle, pour qu’il n’y ait pas d’imprévu.
Il peut également établir une procédure en cas de nécessité de saisir l’autorité de contrôle.
Il peut également établir une procédure en cas de violation de données à caractère personnel, cette procédure est soumise à un délai, et il faudra notifier à la CNIL, éventuellement notifier aux personnes, prendre des mesures pour sécuriser les données, donc, une procédure est très importante, puisqu’il ne s’agit pas d’improviser lorsque le problème survient.
Il peut aussi envisager de formaliser une procédure d’alerte en interne, puisque le DPO va s’assurer de la conformité des traitements, et donc, il peut mettre en place une procédure pour pouvoir saisir le responsable de traitement.
Tout ça passe par de la documentation, et il convient d’établir une cartographie pour savoir où se trouve tel ou tel document, disposer de la liste des sous-traitants qui travaillent pour l’entreprise, organiser cette gestion documentaire, effectivement, organiser la conservation de l’exercice des droits, par exemple.
Le DPO doit contrôler le respect du règlement et également des réglementations nationales, des règles internes en matière de protection des données personnelles.
Il peut le faire de deux façons, il peut le faire a priori, au moment où on va mettre en œuvre un traitement, dès la conception d’un produit, ou a posteriori, en vérifiant quelles sont les formations qui ont été déjà réalisées.
Aussi, le DPO doit pouvoir s’assurer qu’il y a des audits, de la vérification formelle de la conformité des traitements. Il peut le faire tout seul ou il peut le faire avec l’appui d’experts, internes ou externes.
Le DPO, enfin, pour faire toute son activité, il peut regarder ce qui se passe en dehors de l’entreprise, il peut par exemple demander à ce que son entreprise adhère à des associations, comme celles qui sont spécialisées sur la protection des données personnelles, et ça va lui permettre de partager son expérience avec d’autres, de participer à des conférences, de participer à des travaux de réflexion, et ça ne peut qu’enrichir son activité.
