DPO externe

Les entreprises peuvent désigner un DPO (Délégué à la Protection des Données) interne ou un DPO externe à leur structure. En effet, celui-ci peut également être mutualisé c’est-à-dire désigné pour plusieurs organismes.

La mission de DPO externe par Ageris GROUP

Tout d’abord, la désignation d’un DPO est obligatoire pour les :

  1. Autorités ou les organismes publics,
  2. Organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  3. Organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Toutefois, en dehors des cas de désignation obligatoire, la désignation d’un DPO est fortement recommandée.

Celle-ci permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

1. Démarrage de la mission (réunion par téléphone ou par un moyen de visio-conférence) – 1ère année

2. Désignation du DPO auprès de la CNIL – 1ère année

3. Information et conseil sur les obligations du client en matière de protection des données :

  • Animation d’une session annuelle de sensibilisation au RGPD de 3h00 maximum
  • Support « hotline RGPD » limité à 24h00 par an
  • Veille juridique et technique

4. Contrôle du respect du RGPD et des obligations du client en matière de protection des données : réunion trimestrielle d’une durée de 7h00 maximum

5. Conseil sur demande en ce qui concerne l’analyse d’impact relative à la protection des données (AIPD) : temps décompté du support « hotline RGPD » limité à 24h00.

6. Coopération avec la CNIL : demande « simple » de la CNIL décomptée du temps disponible sur le support « hotline RGPD »

7. Point de contact auprès de la CNIL : demande « simple » de la CNIL décomptée du temps disponible sur le support « hotline RGPD »

  • Rédaction d’un bilan annuel d’activité ou de rapports d’activité.
  • Recensement des activités de traitements (art. 30 du RGPD) et tenue du registre des traitements. Cette mission devra être confiée à un personnel du Client (recommandation Ageris GROUP : le Référent RGPD).
  • Traitement des demandes d’exercice des droits (demande d’accès, demande de rectification / suppression, etc.). Toute demande reçue par le Prestataire par une personne concernée sera transmise au Référent DPO qui se chargera de la traiter en interne.
  • Rédaction des politiques, procédures ou tout autre document relatifs à la protection des données à caractère personnel ou à la sécurité des systèmes d’information.
  • Révision des contrats avec des tiers ou rédaction des clauses contractuelles à inclure dans les nouveaux contrats.
  • Mise à jour des mentions légales (site web, formulaire papier ou en ligne, information orale, etc.).
  • Réalisation des analyses d’impact relative à la protection des données (AIPD).
  • Traitement des violations de données et leur déclaration auprès de la CNIL.
  • Intégration du RGPD dans le cadre des nouveaux projets.
  • Formation des personnels du Client sur le RGPD.
  • Audit technique et organisationnel des systèmes d’information.
  • Audit de conformité des traitements par services