Bonjour,
Pour les PME, la nomination d'un DPO sera obligatoire si elle collecte massivement des données personnelles ou si par exemple elle travaille dans le domaine de la santé. Effectivment, ce DPO n'est pas forcément un collaborateur à temps complet, il peut être externalisé et à temps partiel.
Il y aura très certainement une mise à jour des certifications délivrées par la CNIL, les normes ISO 27k peuvent également être utilisées. Si vous souhaitez entrer dans cette fonction, il existe quelques formations sérieuses.
Le privacy by design et la réponse aux différents droits des citoyens doit être une collaboration étroite entre le DPO et les équipes techniques, notamment les architectes SI. Les solutions logicielles vendues comme permettant la conformité sont à fuir dans un premier temps: il faut d'abord bien documenter, bien comprendre ce qu'on doit faire et comment le faire avant de s'occuper de l'outillage :)
Et oui, ce monitoring doit être continu car les PME comme les grands groupes sont sous la notion de "accountability" et donc doivent être constamment à jour. De même toutes les entreprises ayant des données sur les salariés (donc données personnelles) doivent être aidées dans la mise en place de la GDRP, avec ou sans DPO.