Depuis sa mise en vigueur, le RGPD (Règlement général sur la protection des données) modifie en partie les pratiques des entreprises. La présence d’un DPO (délégué de la protection des données) sera exigée au sein de certaines entités publiques ou privées. Pourtant, d’autres entités ne sont pas forcément soumises à cette obligation. Que dit le règlement au sujet du Data Protection Officer ? La réponse dans cet article.
Quelle est la mission du DPO ?
Le métier de DPO est un métier apparu après le lancement du RGPD. Il est chargé de protéger les données personnelles des citoyens européens. Son rôle est défini par le règlement européen et consiste à conseiller et à assurer le respect de cette mesure. Voici un récapitulatif des principales missions d’un DPO :
- Informe les responsables de traitement des informations personnelles sur les obligations liées à la protection des données personnelles ;
- Sensibilise, conseille et forme les responsables (Ressources humaines, Responsable marketing et Growth hacking) sur l’étendue de la sécurisation ;
- Effectue un audit de conformité pour vérifier le respect du règlement ;
- Assure le relai entre l’organe de contrôleur du RGPD et l’entreprise comme la CNIL ou Commission nationale de l’informatique et des libertés ;
- Renseigne les personnes concernées sur l’utilisation de leurs données personnelles ;
- Assure la mise à jour des registres consignant les informations personnelles des particuliers. Ce document devra également mentionner le but de chaque activité nécessitant d’avoir recours aux données.
Quels sont les organes instituant obligatoirement un DPO ?
L’article 37 énonce trois cas impliquant un DPO obligatoire dans une entité privée ou publique :
- Toutes autorités publiques à l’exception de la juridiction sont soumises à l’obligation d’en désigner un. Cela inclut les établissements publics administratifs, industriels et commerciaux, l’État ainsi que les collectivités territoriales ;
- Si le service effectué par le responsable de traitement nécessite un suivi régulier des particuliers mentionnés dans la base de données ;
- Dès que les activités traitent des données personnelles à grande échelle comme dans un milieu médical, condamnation pénale, informations sur la race et l’ethnie.
Dans quel cas est-il simplement recommandé ?
Puisque le DPO assure le rôle de correspondant à la protection des informations personnelles, il est recommandé par la CNIL à toutes entreprises. Cela implique que s’il n’est pas désigné, l’entreprise devra quand même se conformer aux textes du règlement européen.
Dans des cas particuliers, l’autorité régulatrice impose l’élection d’un délégué chargé de la protection des données à caractère personnelles. Ce responsable s’assurera d’encadrer strictement les services traitant ce genre d’information, comme les services de paie par exemple.
Même si la loi n’exige pas le délégué, l’imposition de ce responsable du traitement constitue une réelle plus-value pour l’entreprise.
À quel profil correspond le DPO ?
Selon la loi informatique et libertés, le DPO devra disposer d’une certaine aptitude personnelle pour assurer aux mieux sa fonction.
Concernant ses diplômes, il devra impérativement maîtriser le système juridique de l’union européen. À commencer par des droits et libertés des particuliers, la loi informatique ou des systèmes de protection de données personnelles. Particulièrement, il accordera une importance particulière à la notion informatique et liberté puisque sa tâche sera spécialisée en ce sens.
Le DPO devrait avoir une très bonne connaissance de l’organisme où il sera amené à travailler. Cela lui facilitera les analyses d’impact et la mise en conformité des documents exigés par le règlement.
À titre informatif, le DPO pourra être un employé dans la société ou un professionnel externe à la structure. En fonction de l’étendue des données à traiter, il sera rentable d’avoir un DPO interne. Sinon, il est préférable d’externaliser les documents qui doivent être mis en conformité.