Assurer la mise en conformité avec la RGPD est l’un des défis majeurs des entreprises depuis la mise en application du nouveau règlement depuis mai 2018. Les nouvelles obligations imposent de désigner un délégué à la protection des données personnelles ou un DPO pour faciliter la mise en conformité. Son rôle est donc décisif dans cette transition car il sera chargé de piloter toutes les actions.
DPO, c’est quoi exactement ?
DPO est l’acronyme pour Data Pro Officer ou Délégué à la Protection des Données en français. Globalement, il est chargé de veiller au respect de la loi et au respect du règlement vis-à-vis de la protection de la vie privée. Il travaille donc pour le compte des entreprises et des administrateurs qui gèrent des données à caractère personnel.
Pour pouvoir exercer ses missions de façon efficace, il est tenu de connaître l’univers de la sécurité des données, mais également de maîtriser les connaissances juridiques en la matière ainsi que les droits des personnes. C’est un véritable expert qui peut être un salarié de l’entreprise ou un acteur indépendant qui travaille en tant que consultant. Il faut noter que dans les deux cas, il ne doit pas y avoir de conflit d’intérêts car le DPO doit faire preuve d’une certaine transparence dans l’exercice de ses missions.
Quelles sont ses missions ?
Les missions du DPO sont nombreuses car, pour assurer la mise en conformité, il faut entreprendre de nombreuses actions. De manière générale, il est considéré comme un « chef d’orchestre » qui est un point d’informations et de conseils dans l’entreprise. Le DPO doit coopérer avec le traitant et le sous-traitant des données.
Quant aux responsables de traitements, ils doivent consulter l’avis du DPO pour assurer le respect du règlement général. Par contre, il faut noter que le DPO ne peut être tenu responsable le cas où des autorités de contrôle comme le Cnil décrètent que l’entreprise n’a pas pris les mesures nécessaires pour être mise en conformité vue que c’est au responsable du traitement de mettre en place toutes les politiques permettant d’atteindre la conformité en question. En savoir plus.
Pour mieux comprendre les missions du DPO, on peut les lister comme suit :
- Information et conseil des responsables de traitement et des sous-traitants pour les aider à démontrer la conformité avec le RGPD et toute autre loi sur la protection des données
- Contrôler le respect des lois prévues par le RGPD
- Formation du personnel qui est concerné par la question
- Gestion des processus de protection des données à caractère personnel
- Être un point de contact avec l’autorité de contrôle
- Gestion des différentes demandes émanant des personnes concernées par le nouveau règlement.
Choisir un DPO
Comme à l’époque de la loi informatique, le DPO serait l’équivalent du correspondant Informatiques et libertés, mais en version nettement améliorée, notamment au niveau des attributions et des compétences requises. A ce jour, il n’existe pas de réel profil type du délégué à la Protection des Données. Toutefois, il doit posséder des connaissances approfondies en matière de traitement des données et sera choisi en fonction du caractère de la donnée à traiter (volume, sensibilité, complexité…).
En revanche, même si vous désignez un DPO compétent, mais que vous ne l’intégrez pas de façon appropriée aux sujets relatifs à la protection et au traitement de données, ce sera peine perdue. Il ne suffit pas uniquement de se contenter de la désignation d’un délégué, mais réellement lui donner un accès libre aux données collectées tout en mettant à sa disposition les outils de traitement nécessaires.
La plupart des autorités de contrôle conseillent de recourir à un DPO externalisé car ce dernier pourra intervenir plus efficacement au sein de l’entreprise. L’absence de conflits d’intérêts est garantie d’une part et de l’autre, il sera plus facile de s’en défaire en cas de non-conformité après contrôle.