Faire appel à un spécialiste dpo pour sa startup est une obligation afin de garantir la fiabilité de ses pratiques en matière de gestion de données. Aujourd’hui, les principes du RGPD tendent vers une mise en conformité des procédures d’exploitation, de gestion et de stockage des données à caractère personnel. Toutes les entreprises utilisant des données à caractère privées, y compris les startups, doivent s’aligner sur cette mise en application du règlement général de protection des données mis en application le 25 mai 2018.
La fonction de dpo informatique : qu’est-ce que c’est ?
Conformément à l’article 37 du RGPD, le dpo informatique (Data Protection Officer) est un délégué à la protection des données. Il est désigné sur la base de ses connaissances en droit et en protection des données. Il est également recruté pour ses qualités professionnelles et ses compétences à réaliser ses différentes missions indiquées dans l’article 37. Vous pouvez en savoir plus sur le dpo informatique en cliquant ici. La mission d’un dpo informatique est plus dense que celle d’un CIL ou correspondant informatique et libertés. Même si aucune formation n’est obligatoire pour occuper cette fonction, le DPO doit néanmoins avoir une expertise et une parfaite maîtrise de tout le contenu du RGPD. Une bonne connaissance des textes européens et nationaux est également recommandée afin qu’il puisse sensibiliser ses interlocuteurs.
Rappel des objectifs du RGPD
Pour comprendre l’importance d’un dpo informatique dans une startup, il convient de faire un bref rappel sur le concept du RGPD et des données à caractère personnel.
Le RGPD ou règlement général de protection des données a la vocation ambitieuse d’harmoniser les règles de protection des informations personnelles au sein de tous les États membres de l’Union européenne. Il a pour objectif de replacer un certain pouvoir d’action au niveau des personnes physiques ayant permis le traitement desdites informations personnelles. Selon l’article 4 du RGPD, toutes les informations relatives à une personne physique identifiable ou identifiée sont considérées comme une donnée personnelle. La notion de traitement est indissociable du RGPD. Le traitement de données est un ensemble de traitement ou une opération basée sur des données personnelles.
Le dpo informatique est-il obligatoire ?
La nomination d’un dpo informatique est obligatoire dans certains cas de figure. Sa présence est notamment indispensable dans les institutions suivantes :
- un organisme public traitant de nombreuses informations permettant d’identifier avec précision une personne ;
- une entreprise dont l’activité implique le suivi systématique et régulier d’individu à grande échelle ;
- un organisme dans la mission est de traiter des données sensibles.
Les différentes missions du dpo informatique
En tant que chargé de la conformité de la protection des données au sein d’une institution, le dpo informatique possède plusieurs missions.
Le rôle de conseiller
En tant qu’expert en droit et réglementation inhérente au RGPD, le dpo informe et conseille le responsable de traitement. Entre autres, il collabore étroitement avec la personne morale en charge des finalités et des différents moyens de traitement des données. Dans le cas où l’entreprise sollicite les services d’un sous-traitant, le dpo est amené à collaborer avec ce dernier. Il est le point de contact entre un organisme exploitant des informations à caractère personnel et l’autorité de contrôle ou la CNIL.
Le rôle de contrôleur
En tant qu’expert en RGPD, il possède les compétences nécessaires pour contrôler le respect du droit national et règlement en termes de protection de données. Ses connaissances lui permettent de conseiller un organisme sur l’élaboration d’une étude d’impact en matière de protection de données et d’en vérifier l’exécution.
Le rôle de sensibilisateur
Un consultant en DPO a également pour mission de mettre en place des campagnes et des formations sur le RGPD. Pour une startup, la présence de ce professionnel est un gage de conformité par rapport aux règlements en vigueur sur le traitement de données à caractère personnel. Il peut aider dans la réalisation de plusieurs opérations :
- la réalisation de tests destinés à détecter une éventuelle violation par rapport à une base de données ;
- la gestion du système de stockage des informations sensibles et personnelles et l’assurance de la mise en conformité du processus sur le long terme ;
- la classification des actions à entreprendre pour pallier les failles et proposer des solutions adaptées à l’entreprise.
Les sanctions relatives au RGPD
En tant que texte appliqué et sanctionné au niveau des autorités de contrôle administratives, le RGPD peut appliquer de lourdes sanctions aux entreprises en retrait face à ses recommandations. Entre autres, il prévoit que chaque institution mentionne une autorité de contrôle, responsable de son territoire. Les sanctions relatives au non-respect de ses indications s’adaptent à chaque entreprise et du degré d’infraction réalisée. Pour les infractions les moins graves, il y a une sanction monétaire équivalente à 2 % du chiffre d’affaires mondial de l’entreprise ou de la startup. Pour les infractions les plus graves, la somme à régler est de 4 % du CA. Outre les sanctions pécuniaires, il y a également des répressions judiciaires. Si un organisme n’est pas conforme aux règlements du RGPD, il peut être jugé au niveau d’un tribunal ordinaire qui va nommer les sanctions afférentes à sa situation. Dans le cas où une mesure corrective est insuffisante, d’autres sanctions peuvent apparaître. C’est notamment le cas de la répression pécuniaire administrative et la mise en demeure. Ce dernier cas de figure déclenche une enquête visant à instaurer le respect du RGPD.
Choisir entre un DPO interne et un DPO externe
Il n’y a aucune obligation concernant la position d’un DPO au sein d’une startup. Ce dernier peut être interne à l’établissement ou externe à celui-ci.
Le DPO interne
L’avantage avec un dpo interne repose sur sa connaissance sans faille de l’entreprise au sein de laquelle il exerce sa mission. En revanche, une fois que les chantiers de mise en conformité sont terminés, cette fonction ne demandera plus une occupation en temps plein. Dans ces cas-là, le dpo peut vaquer à d’autres occupations pour être rentable à sa société. En revanche, il ne peut pas occuper un poste à responsabilité. Par exemple, un directeur marketing ne peut pas être à la fois un dpo informatique.
Le DPO externe
Un dpo externe peut être un atout majeur pour une startup, car il apporte un regard neuf. Son expertise est un véritable gage d’efficacité lors d’un audit de procédure et de ressources visant à une mise en conformité RGPD. Sa position extérieure à l’organisme qu’il analyse lui permet aisément de témoigner ou de suggérer une solution auprès des décisionnaires. Quel que soit votre choix entre un consultant interne et externe, l’important est que les obligations RGPD soient respectées après la réalisation de ses différentes missions.