● Informer et conseiller le RT ou le ST ainsi que les employés qui procèdent aux traitements sur les obligations qui leur incombent en vertu du RGPD et d’autres dispositions de droit de l’UE ou du droit national

● Etablir une politique de protection des données personnelles

● Mettre en place un plan de formation du personnel

● Mettre en place une veille juridique

● Etre impliqué et émettre des avis sur tout nouveau projet informatique

● Mettre en place un système de gestion de son activité de DPO (garder trace de toutes les questions qui lui seront posées)

● Tenir le registre des traitements

● Réaliser les PIA

● Contrôler le respect du RGPD et des autres dispositions du droit de l’UE ou du droit national en matière de protection des données

● Veiller à la bonne application des procédures

● Veiller à la bonne application des BCR si transferts hors UE

● Veiller à la bonne application des chartes d’utilisation

● Veiller à la bonne application des clauses contractuelles avec les ST

● Evaluer ses pratiques et réaliser des audits

● Coopérer avec l’autorité de contrôle (CNIL) et faire office de point de contact avec elle et mener des consultations, le cas échéant, sur tout autre sujet

● Identifier les partenaires internes dans les départements métier

● Créer un comité « protection des données » réunissant les exécutifs les plus concernés sur le sujet afin de faire des points d’avancement et de décider ensemble des axes stratégiques.

● S’assurer du soutien de la direction ou du comité exécutif

● Réaliser l’inventaire des traitements de données personnelles mis en œuvre

● Identifier les responsables des services opérationnels traitant les données au sein de la société

● Etablir la liste des sous-traitants

● Déterminer les lieux d’hébergements et les pays

● Préciser les durées de conservation

● Détailler les mesures de sécurité qui sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données

● Vérifier que seules les données strictement nécessaires à la poursuite des objectifs sont collectées et traitées

● Identifier la base juridique sur laquelle se fonde le traitement (consentement, contrat, obligation légale, etc…)

● Réviser les mentions d’information afin qu’elles soient conformes aux articles 12, 13 et 14 du RGPD)

● Vérifier l’existence de clauses contractuelles rappelant les obligations du ST en matière de sécurité, confidentialité et protection des données

● Prévoir les modalités d’exercice des droits des personnes concernées (accès, rectification, etc..)

● Vérifier les différentes mesures de sécurité mises en place

● Vérifier les transferts hors UE et leur encadrement

● Vigilance accrue sur données sensibles et objet du traitement quand surveillance à grande échelle du public ou profilage

● Organiser la Privacy by design (dès la conception d’une application ou d’un traitement) : minimisation de la collection, durée de conservation, mentions d’info, etc….

● Gestion des réclamations et des demandes des personnes quant à l’exercice de leurs droits en définissant les acteurs et les modalités

● Anticiper les violations de données en prévoyant la notification à la CNIL dans les 72h ainsi qu’aux personnes concernées

● Sensibiliser et organiser la remontée d’informations et prévoir un plan de formation des personnels

● Registre des traitements + procédure de mise à jour du registre

● Analyses d’impact sur la protection des données (PIA)

● Encadrement des transferts hors UE

● Copie des contrats avec ST

● Information des personnes et de leurs droits (mentions d’info, preuves du recueil du consentement, procédure pour exercice des droits)

● Procédure en cas de violation de données et documentation de celles passées et de leur résolution