DPO (RGPD): tout ce que vous devez savoir en 3 min

Le Règlement Général sur la Protection des Données, ou RGPD, entré en vigueur en 2018, vise à encadrer le traitement des données personnelles sur le territoire de l’Union européenne. S’inscrivant dans la continuité de la Loi française Informatique et Libertés de 1978, il a pour objectif le renforcement du contrôle par les citoyens de leurs données. C’est ce même règlement qui est venu imposer à certaines entreprises la désignation d’un délégué à la protection des données ou DPO, destiné à leur mise en conformité avec le RGPD. Obtenir un devis gratuit RGPD Qu’est-ce qu’un délégué à la protection des données ? Il convient en premier lieu de définir ce qu’est un DPO, puis quelle est son utilité au sein d’un organisme. La définition Le délégué à la protection des données (DPO) joue un rôle important dans l’application des mesures posées par le RGPD. En effet, il a pour mission de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme l’ayant désigné s’agissant de l’ensemble des traitements mis en œuvre par ce dernier. A quoi sert le délégué à la protection des données ? Le DPO a pour objectif général de veiller au respect du droit des données personnelles au sein de l’organisme l’ayant désigné. A ce titre, il est chargé de remplir les fonctions, listées par l’article 39 du RGPD : D’informer et conseiller l’organisme ainsi que ses employés De contrôler le respect du règlement ainsi que du droit national en matière de protection des données D’être l’interlocuteur des personnes concernées par les questions relatives à la protection des données personnelles De coopération avec la CNIL Quelles sont les missions du délégué à la protection des données ? La fonction de DPO est assortie de plusieurs missions qu’il convient de présenter. Les missions du DPO Le DPO a pour fonction principale d’assurer la mise en conformité de l’organisme au RGPD. Cela requiert le respect de plusieurs principes, notamment le principe d’accountability ou de privacy by design. A ce titre, il est chargé d’effectuer les missions suivantes : Cartographier les traitements de données effectués par l’organisme Participer à l’établissement des règles internes en matière de protection des données Recenser l’ensemble des activités de traitement mises en œuvre par l’organisme Afin d’assurer ces dernières, le RGPD recommande la mise en place de divers outils tels que : Tenir le registre des activités de traitement de l’entreprise : ayant pour rôle de recenser les traitements de données personnelles effectués par l’entreprise. Mener une analyse d’impact relative à la protection des données (AIPD): ayant pour rôle d’établir les risques du traitement des données sur les droits et libertés des individus. Les conditions d’exercice des fonctions du DPO Le DPO a l’obligation de garantir les droits ainsi que les libertés fondamentales dont les données sont collectées au sein de l’organisme. Il doit s’assurer du respect de ces derniers et ce tout au long de l’activité de l’entreprise et de la mise en œuvre du traitement des données personnelles. L’organisme au sein duquel il exerce doit s’assurer au respect de plusieurs conditions listées par l’article 38 du RGPD afin de permettre au DPO d’exercer au mieux ses fonctions : L’octroi de moyens suffisants au DPO Assurer l’indépendance du DPO dans l’accomplissement de ses fonctions A noter : Afin d’exercer la profession de DPO, le RGPD précise qu’aucun conflit d’intérêt ne doit être constaté. Ainsi, il est par exemple impossible de cumuler les fonctions de DPO avec la profession de RH ou directeur financier. La responsabilité du DPO En cas de non-conformité de l’entreprise au RGPD, la responsabilité du DPO ne peut pas être engagée. C’est le principe de co-responsabilité du responsable au traitement et des sous-traitant qui s’applique. Attention : Le transfert de responsabilité du responsable au DPO est interdit. Le DPO ne dispose pas de pouvoir décisionnel concernant la finalité et les moyens du traitement des données personnelles. Il est indépendant du reste du personnel de l’entreprise. Par conséquent, le responsable de traitement ou les sous-traitants ne peuvent pas le relever de ses fonctions. Bon à savoir : Le DPO peut voir sa responsabilité pénale engagée en cas de violation intentionnelle d’une des dispositions pénales du RGPD ou de la loi informatique et liberté. Comment devient-on délégué à la protection des données ? Le DPO doit posséder certaines compétences pour répondre aux besoins de son poste. Il existe également une certification permettant d’attester des aptitudes et compétences du DPO qu’il convient de présenter. Les compétences nécessaires au délégué à la protection des données L’article 37-5 du RGPD dispose que le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ». Par qualités professionnelles, on entend : Une communication efficace ainsi que l’exercice de ses fonctions en toute indépendance L’absence conflit d’intérêts avec ses autres missions Une expertise en matière de législations et pratiques en droit de la protection des données (acquise lors d’une formation continue par exemple) adaptée à la sensibilité des traitements mis en œuvre par l’organisme Une bonne connaissance du secteur d’activité, de l’organisation de l’organisme, notamment des opérations de traitement, des systèmes d’information ainsi que des besoins de l’organisme Un positionnement efficace au sein de l’organisme Bon à savoir : Pour mieux comprendre les enjeux ainsi que les missions octroyées au DPO dans le cadre de ses fonctions, il convient de se référer au guide publié par la CNIL. La certification DPO Bien que l’exercice de la fonction de DPO ne nécessite par de justifier d’une formation spécifique, ces derniers peuvent tout de même obtenir une certification. Cette dernière a été mise en place par la CNIL, elle permet aux professionnels de démontrer qu’ils répondent aux exigences de compétences et de savoir-faire posées par le RGPD. Elle permet également l’instauration d’un climat de confiance entre l’entreprise, les salariés, ainsi que les clients. De plus, les DPO peuvent davantage se démarquer sur un marché devenant de plus en concurrentiel. Attention : Le certification DPO n’est pas obligatoire pour exercer la fonction de DPO. De plus, elle peut être obtenue par des personnes non désignées DPO. Comment est désigné le délégué à la protection des données ? Pour comprendre comment est réalisée la désignation du DPO, il convient de voir pour qui cette dernière est obligatoire, puis comment elle est effectuée. La désignation d’un DPO est- elle obligatoire ? La désignation d’un DPO est obligatoire concernant certains types de structures listées à l’article 37 du RGPD seulement, à savoir : Les autorités ou organismes publics (exception faites des juridictions dans l’exercice de leurs fonctions juridictionnelles) Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle Les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions A noter : Une donnée est considérée comme étant sensible lorsqu’elle permet de révéler une information sur l’origine ethnique, les opinions politiques ou religieuses ou l’orientation sexuelle d’une personne. Les données de santé sont quant à elles particulièrement sensibles et bénéficient à ce titre d’une protection accrue. Bien qu’elle ne soit pas obligatoire, la désignation d’un DPO est souvent recommandée aux entreprises traitant les données personnelles. En effet, ces dernières restent tout de même soumises au respect du RGPD et le DPO peut s’avérer utile car il permet de mettre en place de manière concrète la conformité de l’entreprise au règlement. Exemple : il peut être amené à rédiger la politique de confidentialité RGPD de l’entreprise. Comment s’effectue la désignation ? Pour désigner un DPO il faut s’assurer que les conditions suivantes soient réunies : Il doit détenir les compétences requises Il doit disposer de moyens suffisants Il doit avoir la capacité d’agir en toute indépendance A noter : Le DPO peut être une personne interne ou externe à l’organisme. La désignation s’effectue sur le site internet de la CNIL où il sera nécessaire d’indiquer les informations suivantes : Le numéro SIREN de la structure ou ses coordonnées (si elle ne dispose pas d’un numéro SIREN) Les informations sur le délégué désigné Les informations publiques du délégué (les moyens pour être contacté par le public) FAQ