Le DPO, un rôle clé du RGPD (2/3)

Dans ce second volet sur le Réglement Général sur la Protection des Données (RGPD), nous allons parler du DPO, son intéret, son rôle, ses moyens d’actions, et comment organiser cette fonction dans votre entreprise, ou organisation. Ainsi deviendrez-vous peut être le ou la futur délégué à la protection des données ?

Définition du DPO ou DPD

l'acronyme DPO signifie « Data Protection Officer », il est traduit en français par « Délégué à la Protection de Données ».

C’est une fonction au cœur de la conformité du Règlement Général européen sur la Protection des Données (RGPD). Le délégué à la protection des données a pour tâche d’informer, de conseiller et d’accompagner les organismes qui le désignent dans leur mise en conformité. Pour rappel celle-ci est applicable depuis mai 2018.

Le DPO est en mesure de contrôler le respect de la réglementation. Cette ressource peut être interne, externe (mais en Europe) ou mutualisée avec d’autres organismes. Dans tous les cas elle doit être identifiable par entité et en mesure de coopérer avec l’autorité de contrôle CNIL.

Dans quel cas un organisme doit-il avoir un DPO ?

Certains organismes sont dans l’obligation d’avoir un DPO en leur sein, c’est le cas pour:

• Les organismes et autorités publics
• Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes, à grande échelle. Meme si la notion de "grande échelle" n'est pas clairement définie un certain nombre d'éléments est indiqué par le groupe de travail (cf annexe : lignes directrices)
• Les organismes dont les activités de base les amènent à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions

Dans tous les autres cas, cette fonction est encouragée mais pas obligatoire.

Qui peut devenir DPO ?

Pour devenir délégué à la protection des données, le candidat doit être investi d’un certain nombre de critères :

• Pouvoir oeuvrer et communiquer en toute indépendance et sans conflit d’intérêts
• Avoir une expertise en matière de législation, adaptée à l’organisme concerné et à la sensibilité des données traitées
• Avoir une bonne connaissance des opérations de traitement et du système d’information. Notamment en matière de protection et de sécurité des données
• Avoir un positionnement efficace en interne : être capable d'en référer au plus haut niveau hiérarchique. D’animer un réseau de relais au sein des éventuelles filiales ou des équipes d’experts (informatique, juridique, traducteur, communication, etc.)

A la vue des nombreux critères requis, il n’existe pas de profil parfait. Afin d’aider les organismes à choisir le « bon candidat », une étude a été menée en 2015 pour la CNIL, pour identifier les profils qui s’y rapprochent le plus. Trois en sont ressortis :

• Des profils techniques à 47%
• Des profils juridiques à 19%
• Des profils administratifs à 10%

Quels sont les moyens d’action du DPO ?

L’organisme pour lequel le DPO exerce doit lui fournir les moyens suivants :

• S’assurer de son implication (communication interne et externe, etc.)
• Lui fournir les ressources nécessaires (formations, équipes, temps, matériel, etc.)
• Lui permettre d’agir en toute indépendance (positionnement hiérarchique suffisant, absence de sanction, etc.)
• Lui permettre un accès aux données et aux opérations de traitement associées
• Veiller à l’absence de conflit d’intérêts

Existe-t-il un risque à devenir DPO ?

Non il n'existe pas de risque lié à cette fonction. En cas de non-respect de la réglementation, le délégué ne peut être tenu responsable. Il ne peut pas non plus être sanctionné pour avoir exercé cette fonction au sein de son entreprise.

La seule raison pouvant engager sa responsabilité et engendrer une sanction, est s’il a enfreint intentionnellement ou en tant que complice des dispositions pénales.

Comment s’organise la prise en main de la fonction de DPO ?

Afin de mener a bien sa mission, il est nécessaire pour le délégué de :

• S’approprier les nouvelles obligations imposées par le règlement européen
• Rassembler les documents et organiser une veille sur les sujets touchants à la protection des données personnelles
• Réaliser l’inventaire des traitements de données personnelles ainsi que toutes les informations relatives (durée de conservation, sauvegarde, accès par des tiers, etc.)
• Mettre en place des procédures et évaluer ses pratiques (audit, privacy by design, gestion des réclamation, etc.)
• Identifier les risques liés à la nature des données traitées
• Sensibiliser la direction et les opérationnels sur le sujet, et se faire connaître en interne auprès de toutes les personnes concernées. Rester facilement joignable (ex : création d'un Email dédié, etc. )

On espère que vous avez désormais une meilleure vision du rôle de DPO et qui sait, avoir même inspiré des vocations ?! Dans ce cas vous trouverez ci dessus les éléments pour allez plus loin et proposer un candidat ou effectuer les certifications de compétences DPO D'ici là nous vous donnons rendez-vous pour le troisième et dernier volet sur les cookies et traceurs (#3). Vous pouvez également lire ou relire le premier volet sur les grands principes du RGPD (#1)

Autres articles sur le même thème :

• 1/3 : Les grands principes de la RGPD
• 2/3 : Le DPO, un rôle clé de la RGPD
• 3/3 : Les cookies & traceurs

Annexes et sources

• DPO : Groupe de travail de la commission européenne - Lignes directrices concernant les DPO (PDF)
• CNIL : Le délégué à la protection des données
• CNIL : Comment désigner un DPO ?
• CNIL : Se préparer en 6 étapes (PDF)
• CNIL : Certification de compétences DPO