Job Vacancy DPO externalisé- temps partiel

Contexte

Contexte

Le client  souhaite designer un délégué à la protection des données (DPO) externalisé et se doter d'outils permettant le maintien régulier de la conformité de l'Etablissement. La mise en conformité est un enjeu important et doit faire l'objet d'un suivi au quotidien. L'objectif est de pérenniser la conformité juridique des traitements de données et de se faire assister et accompagner en externalisant les missions qui relèvent de celles d'un DPO, dont notamment, la prise en charge de la liaison réglementaire avec la CNIL. Le candidat doit remplir les missions de déléguée à la protection des données telles qu’énoncées à l'article 39 du RGPD.

MISSIONS

Audit de conformité

Un audit de conformité doit être réalise par le titulaire. A la suite de cet audit, un plan d'action est communiqué au client. Dans la perspective de la mise en œuvre de la conformité au RGPD au sein de l'organisation, il est demande au candidat d'effectuer un cadrage de la démarche globale. II est attendu dans un premier temps que le prestataire fasse un état du niveau de maturité de l'organisation vis-à-vis du RGPD. Cet état des lieux servira de fil conducteur tout au long de la mission pour évaluer les actions dans le temps (en cours et à venir).

Livrables :

·        Audit de conformité et positionnement de l'organisation vis-à-vis du RGPD :

·        Feuille de route ou plan d’actions :

·        Rapport de réunion de mise en œuvre de la mission :

·        Une déclaration DPO auprès de la CNIL.

Cartographie des traitements de données personnelles

effectuer une cartographie des traitements de données personnelles sur l’ensemble des services, avec un recensement précis comprenant :

·        Les différents traitements de données personnelles effectuent à ce jour par service ;

·        Les catégories de données personnelles traitées, en particulier les données sensibles ;

·        Les objectifs poursuivis par les opérations de traitement de données ;

·        Les acteurs internes qui traitent ces données et externes (les prestataires, les sous-traitants, les fournisseurs) ;

·        Les flux indiquant l’origine et la destination des données (lieux où elles sont hébergées, physiquement et virtuellement) ;

·        Les durées de conservation ;

·        Les mesures de sécurité mises en cuivre pour minimiser un accès non autorisé ; il s’agit d'identifier le niveau d'exposition réel des données personnelles, au regard des moyens de sécurité déployés pour en assurer la protection ;

La cartographie des risques doit permettre d'identifier les traitements nécessitant une vigilance

Feuille de route de la mise en conformité - Plan d'actions

Sur la base de la cartographie des traitements de données personnelles, de la cartographie des risques et du diagnostic réalises et du registre des sous-traitants, le candidat réalise la feuille de route ou plan d'actions permettant la mise en conformité au RGPD.

Livrables

·        Feuille de route de la mise en conformité - plan d'actions

·        Estimation chiffrée et calendrier de mise en œuvre

·        Organisation pour le suivi de la mise en œuvre

·        Définition et description des processus internes à mettre en place

·        Documentations, recommandations, mentions et procédures

·        Courrier à destination des sous-traitants

·        Lettre de fin de mission

Sensibilisation

La sensibilisation peut être réalisée à tous moments. En amont, pendant ou bien en aval du projet. Dans ce cadre le client souhaite réaliser la mission de sensibilisation obligatoirement sur site et à l’issue de l’audit de conformité.

Livrables

·        Support de sensibilisation

L’ensemble des missions quotidiennes attendues par un DPO. La liste ci-dessous n’est pas exhaustive.

-       Le traitement de toutes les sollicitations en lien avec les données personnelles

-       Le traitement des non-conformités

-       La réalisation d'AIPD,

-       etc.

·        Réceptionner les demandes d'exercice de droits reçues sur une adresse générique dédiée :

·        Assister le client dans le traitement de ces demandes et dans la réponse à apporter :

·        Envoyer au demandeur le courrier type de demande d'accès :

·        Vérifier que la demande est suivie et relancer le client, le cas échéant

·        Consigner les demandes dans le registre des demandes d'exercice de droit sur un outil.

Livrables

·        Un rapport d'activité semestriel puis annuel ;

·        Une mise à jour de l'ensemble de la documentation et des procédures ;

·        Une mise à jour de l'audit de conformité tous les ans ;

·        Une mise à jour régulière du registre des traitements ;

·        Une mise à jour régulière du registre des sous-traitants ;

·        Une sensibilisation annuelle.

Les livrables attendus dans le cas où le DPO interviendrait pour des actions ponctuelles

·        Une AIPD

·        Un rapport en cas de contrôle de la CNIL Un rapport en cas de violation des données