Le DPO externalisé : uniquement des avantages !

Un an après l’entrée en vigueur du Règlement Général sur la Protection des Données et la nomination d’un DPO en la personne de Michaël Dumoulin,
Pro Archives Systemes propose à ses clients une offre de DPO externalisé.

« Nos clients nous confient leur gestion documentaire et leurs données, nous devons donc être exemplaires en matière de conformité RGPD » indique Michaël Dumoulin.

Fort de son expérience, Pro Archives Systemes pilote également la mise en conformité RGPD de ses clients par l’intermédiaire d’une offre de DPO externalisé. La mutualisation des coûts et des compétences, ont été déterminant dans le choix de 7 services de santé au travail d’Ile-de-France, de sélectionner Pro Archives Systemes pour se mettre en conformité au RGPD et pour externaliser la fonction de DPO. Une opération qui s’est déroulée en quatre étapes :


1/ l’avant-projet
Cette phase de préparation a permis de prendre en compte l’ensemble des besoins des différents clients et de bien cerner la spécificité du projet. Dans le cas présent, il y avait notamment un impératif de délai, mais aussi des priorités spécifiques à chaque organisme. Sans compter qu’il s’agissait de données de santé, considérées comme sensibles ;


2/ l’audit
Lors de cette seconde phase, le DPO mutualisé de Pro Archives Systemes s’est rendu sur place pour réaliser un audit de conformité de chaque service de santé au travail (entre 3 et 5 jours par structure), y compris en auditant les services administratifs et supports (informatique, RH, communication, etc.). L’ambition étant de savoir comment sont gérées et sécurisées l’ensemble des données personnelles pour chacun d’entre eux. Des rapports d’audit ont ensuite été rédigés afin que chaque organisme prenne la mesure de sa situation en termes de risque et de conformité. Cet audit a permis d’obtenir une vision globale et transverse de la gestion des données, et de faire des préconisations adaptées à chaque situation ;


3/ l’accompagnement à la conformité
Ces préconisations ont ensuite été revues et validées par les organismes, en fonction du coût, des compétences et des moyens dont ils disposaient. Le DPO a dès lors établi un plan d’actions avec un planning rigoureux et les premières actions ont pu être lancées comme l’élaboration du registre des traitements et la réalisation d’étude d’impacts. « En général, 80 % des préconisations donnent lieu à une action immédiate ou à une alternative à la préconisation initiale », précise Michaël Dumoulin ;


4/ le maintien de la conformité
Une fois les prérequis du RGPD mis en place et les procédures formalisées, reste ensuite au DPO à veiller sur cette conformité et à la faire vivre. Cela peut faire l’objet d’opérations de communication et de formation auprès des collaborateurs, mais aussi avec de la veille réglementaire, des mises à jour du registre des traitements ou encore la réalisation d’un audit annuel.


Le DPO externalisé : uniquement des avantages !

L’externalisation de la fonction de DPO offre plusieurs avantages aux organismes concernés :
■ la neutralité : le recours à un tiers assure une neutralité totale des recommandations ;
■ du temps : permettant ainsi à la structure de se concentrer sur son coeur de métier ;
■ de l’argent : absence de coût de recrutement et de mobilisation de personnel, efficacité par la capitalisation de l’expérience ;
■ une assurance : en disposant des recommandations d’un expert sur le sujet, membre de l’AFCDP ;
■des compétences : l’équipe Pro Archives Systemes s’appuie, en plus du DPO, sur les compétences d’une équipe spécialisée (juriste, DSI, experts métier, etc.)


Évaluez votre niveau de conformité !

Enfin, notez que Pro Archives Systemes a créé un « Diagnostic RGPD ». Un outil en ligne permettant à toutes les organisations de savoir où elles en sont de leur mise en conformité. Cet outil de diagnostic sera disponible sur le site de Pro Archives Systemes dès le 25 mai pour le 1er anniversaire du RGPD.

Michaël DUMOULIN
Délégué à la Protection des Données (DPO)

Partager l’article