Accompa. conformité GDPR, service DPO externe

Swingactions propose différents types d’accompagnements pour votre conformité au GDPR, et un service de DPO externe.
Information et formation.
Audit externe et accompagnement de projets.

sa_illu_gdpr

Le Règlement Général sur la Protection des Données

Le GDPR établi les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation des données en Europe.  Le règlement rend aux personnes concernées le contrôle sur leurs données personnelles par l’établissant d’une série de droits, et d’obligations pour les responsables de traitements.  Il s’applique au traitement de données à caractère personnel (y compris à usage professionnel), automatisé ou non, ce qui inclus les dossiers papier structurés : listes de clients, prospects, patients, justiciables, membres du personnel, …

Une organisation qui traite des données a caractère personnel est un “Responsable de traitement“, et ses fournisseurs qui interviennent dans ce traitement, sont des “Sous-traitants” au sens du GDPR.  Ils partagent des responsabilités.

Le GDPR est une règlementation horizontale, qui s’applique à toutes les entreprises, les associations, les services publics, etc. complémentairement aux règlementations verticales spécifiques dans les différents secteurs.

Le GDPR est d’application dans toute l’Union Européenne dès le 25/05/2018, et nécessite une mise en conformité dans chaque organisation.

Accompagnement

La mise en conformité de votre organisation vis-à-vis du GDPR est une opération qui ne pourra sans doute pas/plus être réalisée en une seule phase.  Il s’agit d’un travail de longue haleine, qui s’étalera vraisemblablement sur plusieurs années.  C’est aussi une question de réalisme.

Des pratiques devront êtres révisées en profondeur ou abandonnées.  Un effort majeur de pédagogie devra être fait de manière transversale.  Le GDPR impactera progressivement la majorité des outils informatiques et des processus des organisations.

Le 25 mai 2018, les organisations sont capables de démontrer à l’Autorité Nationale de Contrôle leur engagement à suivre le GDPR de manière responsable.  Un inventaire exhaustif des traitements de données, des finalités, des outils, des sous-traitants, etc. est réalisé, et les contrats sont révisés.  Il convient de s’entourer des prestataires conformes ou engagés également dans les principes de responsabilité et de transparence intrinsèques au GDPR.  Un registre des traitements est établi, et un Délégué à la Protection des Données (DPO) est éventuellement nommé.  Une ligne de conduite claire est définie, et les chantiers nécessaires sont entrepris ou planifiés.

Swingactions peut vous accompagner dans l’inventaire de vos traitements et établir le registre officiel obligatoire sur base d’un modèle.

Nous pouvons  vous accompagner dans l’inventaire général de vos outils et fournisseurs (également les hébergeurs, les services cloud, etc.), et établir leur niveau de conformité, en incluant la clarification des rôles de “Responsable de traitements”, de “Sous-traitant”, etc. qui ont un sens particulier défini par le GDPR et qui impliquent de nouvelles obligations et responsabilités.  En collaboration avec vos juristes ou nos avocats, il conviendra de mettre à niveau vos contrats (désormais obligatoires) avec vos sous-traitants, de sorte que les rôles et responsabilités soient clairement définis.

Swingactions vous accompagne également dans l’information, et dans la formation des collaborateurs, dans un processus de professionnalisation et de vulgarisation, pour l’émergence des bonnes pratiques et de la compliance à tous les niveaux.

Un certain nombre de dispositions du GDPR nécessitent que des procédures internes soient prévues.  Par exemple, dès la collecte d’une donnée à caractère personnel, il doit être défini quand celle-ci sera supprimée ou transformée à des fins statistiques ou archivistiques lorsqu’il n’y aura plus de base de légitimation valide pour la conserver.  Le GDPR permet aux personnes concernées de contacter l’organisation pour vérifier si ses droits sont respectés.

Swingactions vous accompagne dans la mise en place des procédures permettant de supprimer ou de transformer les données, et d’accueillir et traiter les demandes de vérification ou de suppression venant des personnes concernées.

Service de DPO externe

Swingactions vous assiste pour déterminer si un DPO est nécessaire selon le GDPR en fonction de vos activités et des données que vous traitez, et propose un service de DPO externe sur la base d’un contrat de service.

Chaque responsable de traitement doit nommer un Data Protection Officer (Délégué à la Protection des Données) dès lors qu’il est une autorité publique, ou dès lors que ses activités consistent en des opérations de traitement à grande échelle (selon nature, portée, et finalités) ou nécessitant un suivi régulier des personnes concernées, ou encore lorsqu’il traite des données sensibles.

Le DPO peut être un membre du personnel du responsable de traitement, ou exercer ses missions sur la base d’un contrat de service.

Un DPO est désigné sur base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du GDPR: informer et conseiller le responsable de traitement, contrôler le respect du GDPR, dispenser des conseils – sur demande – en ce qui concerne l’analyse d’impact relative à la protection des données, coopérer avec l’autorité de contrôle.

Dans ses fonctions, le DPO doit être associé d’une manière appropriée à toutes les questions relatives à la protection des données à caractère personnel.  Le responsable du traitement veille a fournir au DPO les ressources nécessaires à l’accomplissement de sa mission, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement.

Le DPO doit être libre d’exercer sa mission en toute indépendance, et fait directement rapport au niveau le plus élevé de la direction.  Il ne partage pas la responsabilité du responsable de traitement, et ne peut donc être directeur ou impliqué dans les décisions.

Au sein des organisations, les enjeux autours de la fonction de DPO peuvent être nombreux.  Il est parfois plus indiqué de confier ce rôle à un prestataire externe.

Swingactions peut mettre à votre disposition un DPO Certifié.

Le DPO est soumis au secret professionnel, et à une obligation de confidentialité.  Il peut exercer d’autres missions et tâches, dans la mesure où elles n’entrainent pas un conflit d’intérêts.

Prendre contact avec Swingactions

Merci de nous communiquer les informations de base suivantes afin que nous puissions prendre contact avec vous dans les meilleurs délais.

Nom *

Adresse email *

Numéro de téléphone *

Informations complémentaires

Prendre contact avec Swingactions

Merci de nous communiquer les informations de base suivantes afin que nous puissions prendre contact avec vous dans les meilleurs délais.

Nom *

Adresse email *

Numéro de téléphone *

Informations complémentaires

Ce site utilise des cookies uniquement pour son bon fonctionnement et mesurer son audience. Lire la charte vie privée

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer