Devenir délégué à la protection des données (DPO) en TPE/PME

Objectifs et contexte de la certification :

Si la majorité des TPE/PME ne seront pas formellement dans l’obligation de désigner un Délégué à la Protection des Données (DPO), être en conformité avec le RGPD est obligatoire. Pour piloter la gouvernance des données personnelles, une entreprise ou une organisation a besoin d'un véritable «chef d’orchestre « qui exercera une mission d’information, de conseil et de contrôle en interne et surtout de mise en conformité au règlement européen.

CCI France a mené une enquête permettant aux CCI locales de faire remonter les besoins de leurs entreprises ressortissantes. Après analyse des résultats, il s’est avéré que cette thématique a été relayée, à plusieurs reprises et par des territoires différents, justifiant ainsi une démarche nationale. Cette certification repose sur l’application du RGPD et la délibération adoptant les critères du référentiel de certification des compétences du délégué à la protection des données.

Compétences attestées :

1. Préparation de la mise en conformité en mettant en place une gouvernance et en respectant une méthodologie et un environnement règlementaire

• Identifier les missions du DPO en intégrant les bases juridiques d’un traitement en conformité.
• Elaborer le plan d’actions, le planning et les outils de la conformité dans le respect règlementaire.
• Déterminer un plan de communication périodique des collaborateurs à titre préventif ou sur incident à titre curatif, pour une meilleure anticipation ou gestion des points de non-conformité.
• Organiser les process internes en rédigeant les procédures (nouveau traitement, exercice des droits, notification de faille de sécurité, purge, portabilité, audit, violation de données, réclamations…) et définissant la documentation nécessaire pour une communication optimisée à l’égard des parties prenantes.

2. Cartographie des traitements de données actuels

• Recenser les traitements de données de l’organisme et les inscrire au registre des traitements.
• Identifier tous les traitements sous-traités et les cas de coresponsabilités des responsables de traitements.
• Prioriser la conformité des traitements les plus à risque.
• Conseiller le responsable de traitement pour la réalisation d’éventuelles études d’impact, dont l’étude d’impact sur la vie privée, en identifiant les éléments pouvant la déclencher.

3. Mise en conformité de l’organisme, en la documentant et en la maintenant en règle

• Mettre les traitementsen conformité (finalités, licéité, durée de conservation, sécurité et information des personnes concernées…) enmettant à jour le registre.
• Revoir les contrats avec les sous-traitants en rédigeant, le cas échéant, les avenants en respectant la législation en vigueur.
• Mettre en œuvre les pédagogies correctives et des contrôles de sécurité.
• Auditer périodiquement les traitements et mettre à jour le registre.
• Assurer la traçabilité des activités du DPO, à l’aide d’outils de suivi et de bilan annuel.

4. Réalisation d’actions de communication auprès des parties prenantes

• Réaliser une information au public en respectant les mentions légales et en mettant en place, le cas échéant, l’affichage adéquat.
• Communiquer de façon régulière sur le RGPD auprès des membres de l’entité.
• Gérer la relation avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action.

Toutes les compétences sont évaluées.

Modalités d'évaluation :

La durée de la formation est de 28 heures.