Mis en application depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) requiert bien souvent la désignation d’un DPO, ou Délégué à la Protection des Données dans l’entreprise (Data Protection Officer en anglais). Eclairage sur son rôle et ses missions
Le DPO, chef d’orchestre des données sensibles dans l’entreprise
Consacrée le 25 mai 2018, la notion de DPO a fait l’objet de plusieurs précisions depuis lors. Cette personne, qualifiée de chef d’orchestre par la CNIL (Commission nationale de l’informatique et des libertés), est chargée de garantir la protection des données personnelles dans les organismes privés et publics.
Dans les organismes où un DPO doit obligatoirement être nommé, il se positionne comme l’intermédiaire clé de la CNIL dans le pilotage du RGPD. Il est le conseiller et l’interlocuteur majeur en cas de questions liées aux données personnelles. Il est également chargé de gérer les demandes d’exercice des droits d’accès aux informations plus ou moins confidentielles.
Aujourd’hui, il ressort que les entreprises (y compris les PME et les TPE) font généralement appel au Délégué à la Protection des Données pour éviter tous les risques liés à une violation de contraintes du RGPD et pour se conformer à ce règlement. En effet, une entreprise qui ne respecterait pas ces mesures pourrait être sanctionnée financièrement, ce que veulent éviter les organismes concernés.
La fonction de DPO peut être exercée par un collaborateur en interne et par un prestataire externe, véritable expert dans son domaine.
Dans quels cas le DPO est-il obligatoire
La désignation d’un DPO est obligatoire dans 3 situations précises :
- quand le traitement des données personnelles est effectué par un organisme public ou une autorité, hormis les juridictions dans leur fonction juridictionnelle
- quand les opérations de traitement sont nombreuses et concernent beaucoup de personnes : géolocalisation, vidéosurveillance, traitement de données et d’échanges bancaires sensibles…
- quand l’activité principale implique un traitement de données à caractère sensible sur une grande échelle (informations biométriques ou de santé, données pénales et relatives à la commission d’infractions…).
En cas de contrôle par la CNIL, vous devrez justifier la présence ou non d’un DPO si vous ne figurez pas parmi les entreprises contraintes d’en désigner un. Votre documentation devra donc inclure les arguments pris en compte dans votre choix, ce qui peut parfois poser quelques problèmes lorsque votre entreprise traite des données confidentielles.
Missions du Délégué à la Protection des Données
Voici quelques missions dévolues au DPO :
- informer l’entreprise au sein duquel il collabore et la conseiller sur les contraintes du RGPD
- vérifier le bon respect du droit national et du règlement pour la protection des données personnelles
- répondre aux interrogations des employés de l’entreprise et de toutes les personnes concernées
- garantir une coopération avec l’autorité locale de contrôle
- organiser la procédure interne de gestion des traitements de données personnelles et les demandes d’exercice de droits.
Pour réaliser tous ces process, le DPO peut se munir d’outils, comme un logiciel RGPD garantissant la bonne mise en conformité.
Si vous avez des questions sur la mise en conformité RGPD, vous pouvez demander conseil auprès d’organismes spécialisés tel que ABSYS ORGANISATION CONSEIL (A.O.C).