Le défi majeur de cette décennie pour les entreprises est sans doute la mise en conformité avec le Règlement Général sur la Protection des Données ou RGPD. C’est une nouvelle loi adoptée par l’Union Européenne qui vise à assurer la sécurité des données à caractère personnel des citoyens européens. Pour rendre cette transition possible, la CNIL impose la nomination d’un Délégué à la Protection des Données ou DPO. On le désigne aussi par consultant RGPD.
Que fait un consultant RGPD ?
Toutes les entreprises et administrations qui manipulent des données à caractère personnel ont l’obligation de confier le processus de mise en conformité entre les mains de consultants. Il peut s’agir de consultants indépendants ou de consultants salariés. Le métier du consultant est indispensable car il s’assure de la bonne application du nouveau règlement au sein de l’entité.
D’ailleurs, bien que le DPO ne soit pas obligatoire pour toutes les entreprises, il est toutefois recommandé car c’est le seul qui puisse garantir le respect des règles prévues par le RGPD.
Les missions du consultant expert
Elles sont bien définies dans le RGPD. Comme énoncé plus haut, le DPO est tenu de s’assurer que le RGPD est bien appliqué au sein de la structure. On peut résumer ses missions comme suit :
- Informer et guider le responsable de traitement vis-à-vis des obligations en matière de protection des données. Pour cela, il doit mener des actions de formation et de sensibilisation.
- Mettre en place des audits de conformité pour contrôler le respect du RGPD.
- Fournir des conseils sur demande, notamment en ce qui concerne le PIA RGPD.
- Constituer un point de contact pour les autorités de contrôle, notamment la CNIL.
Le DPO est donc une personne qui possède des compétences aigues en informatique et qui maîtrise les systèmes d’information sur le bout des doigts.
Le consultant possède un rôle stratégique puisqu’il est associé à toutes les questions conformes à la protection des données à caractère personnel et à la sécurité informatique. Dans certaines entreprises, il fait même partie des comités de direction, étant donné que son avis est indispensable pour les décisions stratégiques. Le rôle du consultant rgpd est donc déterminant. Avant de le nommer, il est important de s’assurer qu’il possède toutes les expertises nécessaires pour remplir ces nombreuses fonctions.
Le travail du consultant en pratique
Tout comme le rôle du DPO, le RGPD définit clairement les relations entre le responsable de traitement et le DPO. En effet, le responsable de traitement ou l’organisation chargée du traitement des données personnelles possède certaines obligations :
- Il doit associer le DPO à tout ce qui touche à la protection des données personnelles
- Il doit fournir au DPO des moyens qui vont lui permettre de mener à bien ses missions.
Il est important de noter que le consultant ne peut en aucun cas être tenu responsable de la non-conformité de l’organisation avec le RGPD, sauf dans le cas où une faute a été commise. Il ne peut non plus être relevé de ses fonctions ni pénalisé. Cela est valable que le DPO soit nommé en interne ou qu’il appartienne à un cabinet de conseil.
Par ailleurs, le DPO consulting a une obligation de confidentialité. Les clients ou les personnes dont les données sensibles sont recueillies et traitées peuvent le contacter directement. Il faut aussi veiller à ce qu’il n’y ait pas de conflits d’intérêts. Le management du système d’information est au cœur des métiers liés à la transformation digitale. C’est pourquoi le consultant doit appartenir au niveau le plus élevé possible du responsable de traitement.