Le Délégué à la protection des données (DPD), ou DPO (pour Data Protection Officer en anglais), a pour rôle d’assister de manière indépendante le responsable du traitement et s’assurer que le RGPD est bien respecté dans l’organisation.
Les principales missions du DPO sont à minima au nombre de cinq comme suit :
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
- Contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
- Coopérer avec l’autorité de contrôle ;
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
DPO : qui est concerné ?
Le Règlement (art. 37, paragraphe 1) prévoit la désignation obligatoire d’un DPO (Data Protection Officer) dans trois situations :
- si le traitement est effectué par une autorité publique ou un organisme public, quelles que soient les données qui sont traitées ;
- si les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Il est à noter que le droit de l’Union ou des États membres peut exiger la désignation de DPO dans d’autres situations également. La désignation d’un DPO sur la base du volontariat est vivement recommandée pour ceux qui n’y sont pas obligés. Le groupe de travail européen « Article 29 » sur la protection des données («G29») encourage ces efforts déployés sur une base volontaire. Ceux-ci sont des gages de transition numérique réussie et responsable, ainsi que davantage concurrentiel donné par la conformité bâtie, qui sera amenée à être certifiée par l’autorité de contrôle (la CNIL en France).
Pour résumer : la nomination du Délégué à la protection des données ou DPO (Data Protection Officer) est obligatoire selon le RGPD/GDPR pour toutes les entités publiques. Elle l’est également pour les entités privées qui exécutent des traitements de données « sensibles » ou des traitements systématiques à grande échelle.
Dans les autres cas elle est vivement encouragée au niveau européen, et constitue assurément un avantage qui sera visible notamment par la certification.
Le choix du PDO
Le DPO doit être choisi en fonction de ses qualités professionnelles, notamment ses connaissances du droit et des pratiques en matière de protection des données (article 37 5° du RGPD), du secteur d’activité dans lequel son entreprise évolue et de sa bonne compréhension des systèmes d’information.
Il faut être extrêmement attentif au risque de conflit d’intérêts entre les missions de la personne au sein de l’entreprise et celles de DPO (article 39 du RGPD) (ex : missions au sein de la direction marketing, des ressources humaines etc.) D’une manière générale celui qui détermine les finalités d’un traitement ne doit pas être celui qui s’assure de sa conformité par rapport au droit des utilisateurs.
Le DPO doit être indépendant, compétent et doté de moyens adéquats.
La compétence technique et juridique du DPO doit être très importante. Le DPO doit en effet contrôler la conformité juridique des traitements, ce qui requiert une vraie compétence de juriste, plus poussée que celle requise de l’ancien CIL (correspondant informatique et liberté). La désignation d’un DPO en interne peut ainsi s’avérer délicate. C’est aussi une des raisons qui fait que la fonction de DPO est souvent assurée par des avocats.
DPO Interne ou Externe ?
Vous souhaitez internaliser la fonction de DPO ?
Global DPO peut vous assister en formant la personne pressentie pour être Délégué à la Protection des Données (DPO) à ce nouveau et exigeant métier, en optimisant et mettant à jour ses connaissances à travers les formations que nous organisons régulièrement, également à travers une veille juridique, en proposant une assistance stratégique et opérationnelle, en effectuant un transfert de compétences et en formant à des outils dédiés, en formant le personnel et les collaborateurs à la mise en conformité, en effectuant ou pilant les études d’impact, en aidant à la tenue et la mise à jour du registre des traitements, etc.
Vous souhaitez externaliser la fonction de DPO ?
Notre Cabinet vous propose un contrat de prestation de services « DPO externe » pour remplir pleinement la fonction de Délégué à la Protection des Données et de la manière qui vous convient (exclusive, mutualisée…). Nous accomplirons en toute indépendance notre mission en contact étroit avec vos collaborateurs concernés, mettrons en place après audit une politique de mise en conformité et de sensibilisation à la protection des données, et effectuerons tous les process nécessaires, études d’impact, vérification de la conformité contractuelle, des sous-traitants, tiendrons le registre des traitements ou aiderons le responsable des traitements à le faire. Nous serons le lien avec l’autorité de contrôle (CNIL) et interviendrons auprès d’elle dans tous les cas prévus par le Règlement.
Besoin d’un renseignement ?