Délégué à la protection des données (MS)

Les activités visées par le titre sont les suivantes : * Identification des données personnelles, cartographie des flux et traitements associés. * Identification des données sensibles. * Détermination des bases légales et finalités de traitements dans le but de les inscrire dans le registre de traitement. * Identification des acteurs internes et externes associés aux traitements de données personnelles. * Sensibilisation et formation des acteurs concernés par les traitements de données personnelles par la communication écrite et orale sur des supports adaptés afin de permettre de mobiliser les personnes concernées sur les enjeux associés à l’utilisation des données personnelles. * Management inclusif et égalitaire de la politique de protection des données personnelles vis-à-vis des acteurs internes et externes * Identification des traitements à risque. * Management de la politique de protection des données personnelles du responsable de traitement au sein de la gouvernance et au travers des référents identifiés au sein de l'organisme. * Actualisation du registre de traitement pour supprimer les traitements obsolètes et intégrer les nouveaux traitements. * Elaboration et modélisation des outils adaptés pour assurer le respect de la mise en conformité du responsable de traitement.

Dans le cadre du respect du RGPD et des exigences de la CNIL dans la mise en œuvre du métier de DPO, les compétences attestées sont les suivantes : * Modéliser un schéma de flux de données afin de pouvoir identifier les traitements de données personnelles tout au long du cycle de vie de la donnée dans un domaine et/ou un secteur déterminé (Assurance, Banque, santé, etc.) et permettre ainsi de délimiter le périmètre d'intervention et la responsabilité des acteurs liés à ces traitements de données et du Délégué à la Protection des données personnelles. * Identifier les fondements (finalités et licéité) liés à la collecte des données personnelles par le responsable de traitement et veiller à leur conformité et leur pertinence (choix de la base légale, choix de la durée de conservation, respect du principe de minimisation, exactitude des données) * Etudier et identifier les caractéristiques et les enjeux liés à la collecte des données « sensibles » prévues à l’article 9 de la règlementation générale à la protection des données personnelles. * Identifier les traitements avec transferts de données dans les pays étrangers afin de pouvoir articuler les législations nationales et européennes et les pays tiers ayant une politique de protection de données personnelles adaptée ou non et, le cas échéant, instaurer les mesures juridiques nécessaires (ex : clauses contractuelles types) pour garantir la sécurité de ces transferts. * Identifier les traitements avec transferts de données vers des sous-traitants et mettre en place le cadre légal de la relation entre le responsable de traitement et le sous-traitant. * Etablir un registre de traitement conforme à la règlementation pour démontrer la prise en considération par le responsable de traitement des enjeux associés aux données personnelles et répondre ainsi à l’article 30 du règlement général à la protection des données personnelles. * Modéliser un tableau de bord de suivi de la mise en conformité juridique et s’assurer de son accessibilité pour tous les acteurs internes afin de permettre au responsable de traitement d'avoir une visibilité globale, dans le cadre d’un bilan annuel, des risques et enjeux sur les traitements de données personnelles. * Communiquer et former dans le cadre d’une démarche inclusive toutes les parties prenantes aux enjeux liés aux traitements de données personnelles (personnel, instances dirigeantes, sous-traitants, etc.) en adaptant son discours en fonction des personnes concernées (ex : situation de handicap) et en s’assurant de l’accès pour toutes les personnes en interne aux documents et mentions relatifs à la gestion et au suivi de la politique de la protection des données. * Manager une équipe pluridisciplinaire intégrant des personnes en situation de handicap et veiller au respect d’une démarche égalitaire et éthique dans le traitement des données personnelles des acteurs internes et externes. * Sensibiliser sur les enjeux juridiques et informatiques des traitements intégrant des nouvelles technologies (intelligence artificielle, blockchain etc.) dans le cadre de la démarche préventive prévue par l’article 32 du RGPD et dispenser des conseils sur le suivi et la méthodologie à appliquer dans le cadre d’un traitement à risque. * Identifier les traitements à risque et veiller sur l'application des mesures de sécurisation organisationnelles et techniques spécifiques afin de mettre en place au sein du responsable de traitement une politique de prévention des risques fondée sur la disponibilité, l’intégrité et la confidentialité des données. * Suivre et actualiser les traitements de données personnelles au sein de l'organisme de traitement et assurer une traçabilité des activités effectuées par le responsable de traitement sur ses données personnelles. * Analyser les impacts sur les traitements existants et mettre en place une politique de protection des données personnelles dès l'origine adaptées aux risques et à la nature des opérations de traitement visant à responsabiliser le responsable de traitement. * Assurer le respect des durées de conservation des données personnelles initialement prévues lors de la collecte des données en veillant à leur purge, et mettre en place les procédures adaptées pour la gestion des principes et droits prévus pour les personnes concernées (demande de droit d’accès, gestion des mentions d’informations). * Contrôler le respect par le sous-traitant du cadre légal fixé sur les enjeux de données personnelles * Superviser l'analyse de risque associé aux traitements à risque, solliciter le cas échéant l'autorisation administrative dans le cas où le traitement a été mis en place malgré un risque résiduel. * Identifier et prendre les mesures urgentes (notification à l’autorité de contrôle et/ou aux personnes concernées) afin d’assurer la continuité de l'activité du responsable de traitement dans le cadre d’une situation de crise (ex: violation de données). * Documenter les mesures prises en amont par le responsable de traitement dans le cadre de sa démarche de conformité en intégrant dans un registre particulier les situations critiques (ex : violation de données) afin de démontrer la prise en considération par le responsable de traitement des enjeux en matière de protection des données. * Savoir préparer et répondre à une demande et/ou un contrôle de l’autorité administrative en vue de pouvoir démontrer sa conformité à la règlementation générale à la protection des données personnelles.

Le métier de Délégué à la Protection des Données ou Data Protection Officer (DPO) concerne aussi bien le secteur public que privé. L’article 37 du RGPD impose un DPO pour tous les organismes publics et pour les entreprises dont l’activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes et à grande échelle.

* Délégué à la protection des données personnelles * Consultant Privacy * Consultant RGPD * Juriste protection des données personnelles * Compliance Officer / Responsable de conformité