Modèle d'audit20 questions clé pour choisir son DPO
RGPDOrganisationDPO
Quelles sont les questions à se poser lors du choix d'un DPO ?
Version 1.0
1. Désignation du DPO
1.1. Mon organisme est une autorité ou un organisme public ?
1.2. En tant qu'organisme public, j'ai l'obligation de désigner un DPO. Un DPO a été désigné ?
1.3. Mon activité de base implique un traitement de données personnelles permettant un suivi régulier et systématique des personnes à grande échelle ?
1.4. En cas de réponse positive, je dois désigner un DPO. Un DPO a été désigné ?
1.5. L'activité de base de mon organisme implique un traitement de données sensibles ou relatives à des condamnations pénales et infractions à grande échelle ?
1.6. En cas de réponse positive, je dois désigner un DPO. Un DPO a été désigné ?
2. Choix du DPO
2.1. Une gouvernance RGPD est définie (comité RGPD, mise en place de relais ou référents, formalisation des missions de ces relais, etc.) ?
2.2. Toute la documentation permettant de justifier le choix du DPO est conservée (ex : CV, certification de compétence, etc.) ?
2.3. Une communication prévue en interne sur la désignation du DPO ?
3. Compétences
3.1. Une formation de compétence de DPO est prévue ?
3.2. La personne choisie dispose-t-elle du niveau de connaissances (expertise juridique et technique en matière de protection des données, secteur d’activité, etc.) et des compétences nécessaires (aptitude à communiquer etc.) ?
Par exemple, à travers une certification de compétence de DPO agrée par la CNIL.
4. Indépendance
4.1. Le DPO peut facilement rendre des comptes directement au niveau le plus élevé de la hiérarchie de l'organisation ?
Par exemple, accéder au COMEX de l'entreprise
4.2. Des garanties sont prévues pour assurer l'indépendance du DPO ?
En particulier : ne pas être sanctionné dans le cadre de ses missions de DPO, ne pas recevoir d'instruction dans le cadre de ses missions de DPO.
5. Conflits d'intérêt
5.1. La qualité ou la fonction de la personne choisie n'entraine pas de conflit d'intérêt avec les missions d’un DPO ?
6. Moyens
6.1. Le DPO a accès aux procédures et informations utiles qui encadrent les traitements de données personnelles ?
6.2. Le DPO a accès facilement aux données et aux traitements de données personnelles ?
6.3. Une évaluation de la charge de travail du DPO et de ses besoins matériels (infrastructure, personnel supplémentaire, etc.) a-t-elle été menée ?
7. Mission
7.1. Les missions et conditions d’exercice des missions du DPO sont-elles formalisées dans une lettre de mission ou un contrat de prestation de service ?
7.2. Le périmètre des missions du DPO est-il défini ?
Par exemple, la tenue du registre des traitements, des audits réguliers sur les traitements, vérification des PIA, etc. ?
7.3. Le DPO est impliqué en amont de tout projet comprenant le traitement de données à caractère personnel ?
Par exemple, à travers une procédure de gestion de projets
Créé le:30/05/2021
Mis à jour le :29/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :