Pour piloter la gouvernance des données personnelles de votre structure et mettre en oeuvre sa conformité, il sera nécessaire de désigner un chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne.
La CNIL a donné un nom officiel à cette fonction : le Délégué à la Protection des Données (DPD). Cette fonction n’est pas nouvelle puisqu’auparavant, elle s’appelait CIL (Correspondant Informatique et Liberté), mais son rôle est maintenant renforcé.
La nomination d’un DPD est obligatoire dans certains cas (voir conditions CNIL, deuxième lien) et il est nécessaire de le déclarer officiellement auprès de la CNIL (déclaration DPD)
MODIFICATION 20/6/2018 : Voir ci-joint la note du Secrétariat Général de l’Enseignement catholique
Toutefois, si vous n’êtes pas concerné par la nomination dun DPD, il est fortement recommandé de désigner une personne référente sensibilisée aux enjeux du numérique qui prendra l’initiative de lancer les actions nécessaires à la mise en conformité.
« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisation, le référent est principalement chargé de :
- Piloter la démarche ;
- Garder une vue globale sur les activités de traitement ;
- De conseiller et d’alerter les responsables de la structure sur la mise en conformité du dispositif ;
- Être le point de contact en cas de contrôle de la CNIL dans votre structure ;
- Transmettre auprès des équipes une culture data protection via des formations ou autres actions de sensibilisation.
Une personne agile sur les questions de protection des données et de sécurité informatique pour battre le rythme du projet et favoriser les actions de sensibilisation et de formation des utilisateurs.
Son objectif est de créer un réflexe data protection au sein de l’établissement.
Il est recommandé de ne pas attribuer cette mission au chef d’établissement ni au président d’Ogec afin de lui garantir une distance critique vis-à-vis des vulnérabilités et des mesures à prendre.
- Internalisation : La personne est identifiable au sein de l’établissement.
- Mutualisation : La personne est identifiée et partagée entre plusieurs établissements d’un même secteur. Renseignez-vous auprès de vos instances territoriales de l’Enseignement catholique pour savoir si cette fonction DPD existe ou est en projet.
- Externalisation : Un prestataire externe. Attention à certaines offres commerciales : nous consulter si besoin (rgpd@fnogec.org).