Skip to content

RGPD : le délégué à la protection des données (DPO)

RGPD : le délégué à la protection des données (DPO)

Le délégué à la protection des données, également appelé DPO, a été instauré par le Règlement Général sur la Protection des Données (RGPD). En effet, depuis son entrée en vigueur, certaines entreprises sont dans l’obligation de nommer un DPO afin d’être en conformité avec le RGPD.

Cependant, même lorsque la désignation n’est pas obligatoire, il peut être utile de nommer un DPO. En effet, celui-ci permet de mieux appréhender les enjeux liés au traitement des données personnelles.

Qu’est-ce qu’un DPO ?

L’entrée en vigueur du RGPD en 2018 a fait émerger la nouvelle profession de délégué à la protection des données (DPO). Celui-ci se distingue du correspondant Informatique et Libertés (CIL), mis en place par la loi “Informatique et Libertés” de 1978. Il dispose également de plusieurs missions.

La différence entre le CIL et le DPO

Avant l’entrée en vigueur du RGPD, les organismes avaient la faculté de désigner un correspondant Informatique et Libertés. Cette désignation était alors purement facultative. Le DPO apparait alors comme le successeur du CIL.

En effet, leurs statuts semblent similaires car ils sont tous les deux en charge de veiller au respect du droit en matière de traitement des données personnelles. Toutefois, le RGPD requiert de plus grandes exigences à l’encontre du DPO.

Ainsi, celui-ci doit faire preuve de certaines qualités telles que :

  • des connaissances spécialisées en droit de la protection des données personnelles.
  • une capacité d’adaptation continue en procédant à des mises à niveau régulières de ses compétences en matière de données personnelles.
Bon à savoir : la nomination d’un CIL n’exigeait pas impérativement la démonstration de qualités telles qu’une connaissance spécifique du droit de la protection des données personnelles.

Les missions du DPO selon le RGPD

Le RGPD octroie plusieurs missions au DPO. En effet, du fait du renforcement des exigences envers le DPO, ses missions sont également accrues. Il a donc principalement pour but de veiller au respect du droit des données personnelles.

Ainsi, celui-ci doit :

  • informer et conseiller l’organisme traitant des données personnelles ;
  • contrôler la conformité de l’entreprise avec le RGPD ;
  • intervenir comme intermédiaire entre l’organisme, la CNIL et les personnes dont les données sont collectées.
A noter : Le DPO peut être interne ou externe à l’entreprise. Toutefois, les missions exercées demeurent les mêmes.

La désignation d’un DPO est-elle obligatoire selon le RGPD ?

La désignation d’un DPO n’est pas une obligation. En effet, le RGPD prévoit uniquement trois situations dans lesquelles la nomination d’un DPO est obligatoire.

Ainsi, l’article 37 du RGPD prévoit une désignation obligatoire d’un DPO lorsque :

  • le traitement des données est effectué par des autorités ou organismes publics ;
  • l’activité d’un organisme privé engendre un suivi régulier et systématique de personnes à grande échelle ;
  • un organisme privé traite à grande échelle des données sensibles ou relatives à des condamnations pénales.
A noter : On considère qu’une donnée est sensible lorsqu’elle permet de révéler une information sur l’origine ethnique, les opinions politiques ou religieuses ou l’orientation sexuelle. Les données de santé sont également considérées comme des données sensibles.

Cependant, le RGPD ne définit pas précisément ce que constitue un traitement de données à grande échelle. C’est pourquoi, l’obligation de désigner un DPO peut s’avérer confuse pour les personnes concernées par le RGPD.

Outre cette obligation, la nomination d’un DPO est souvent recommandée aux entreprises traitant des données personnelles. En effet, celui-ci permet de mettre en place des mesures et des outils permettant la conformité de l’entreprise au RGPD. Il peut ainsi par exemple rédiger la politique de confidentialité RGPD de l’entreprise.

Attention : Si la désignation d’un DPO n’est pas obligatoire, le respect du RGPD est toutefois inéluctable pour les entreprises traitant des données personnelles.

Quelles sont les fonctions du DPO au regard du RGPD ?

Les fonctions du DPO

Le DPO a pour principale fonction d’assurer la conformité au RGPD de l’organisme pour lequel il exerce. Cela demande ainsi le respect de plusieurs principes, tels que le principe d’accountability ou de privacy by design.

Afin de respecter la nouvelle réglementation en vigueur, le DPO doit :

  • cartographier les traitements de données effectués par l’organisme ;
  • participer à l’établissement de règles internes en matière de protection des données ;
  • recenser l’ensemble des activités de traitement mises en œuvre par l’organisme.

Pour cela, le RGPD recommande la mise en place de divers outils. Le DPO a alors pour fonction de tenir le registre des activités de traitement de l’entreprise. Celui-ci a pour but de recenser les traitement de données personnelles effectués par l’entreprise. Il peut également mener une analyse d’impact relative à la protection des données (AIPD), afin d’établir les risques potentiels du traitement des données sur les droits et libertés des individus.

Bon à savoir : Le DPO occupe également une fonction d’interlocuteur avec les personnes dont les données sont collectées. En effet, ses coordonnées doivent être publiques en cas de réclamation.

Les conditions d’exercice des fonctions du DPO selon le RGPD

Le délégué à la protection des données a l’obligation de garantir les droits et libertés fondamentales des personnes dont les données sont collectées au sein de l’organisme. Ainsi, il doit garantir le respect de ces droits tout au long de l’activité de l’entreprise et de la mise en œuvre du traitement des données personnelles.

Il doit permettre la mise en œuvre du RGPD au sein d’un organisme. Toutefois, plusieurs conditions doivent être réunies par l’organisme afin que le DPO puisse exercer ses fonctions. En effet, selon l’article 38 du RGPD, l’organisme doit veiller à :

  • octroyer des moyens suffisants au DPO : celui-ci doit bénéficier des moyens nécessaires à l’exercice de ses missions ;
  • accorder une indépendance dans l’accomplissement des missions du DPO.

Par ailleurs, le DPO se doit d’être associé à toutes les décisions concernant la protection des données personnelles.

A noter : Afin d’exercer la profession de DPO, le RGPD précise qu’aucun conflit d’intérêt ne doit être constaté. Ainsi, il est par exemple impossible de cumuler les fonctions de DPO avec la profession de RH ou de directeur financier.

La responsabilité du délégué à la protection des données

La responsabilité du DPO ne peut pas être engagée en cas de non-conformité de l’entreprise au RGPD. Dans ce cas, c’est le principe de co-responsabilité du responsable au traitement et des sous-traitants qui s’applique. Le transfert de responsabilité du responsable au délégué est interdit.

En effet, le délégué à la protection des données n’a pas de pouvoir décisionnel concernant la finalité et les moyens du traitement des données personnelles.

Ainsi, le délégué est indépendant dans ses fonctions du reste du personnel de l’entreprise. Le responsable du traitement ou les sous-traitants ne peuvent donc pas le relever de ses fonctions. Le responsable du traitement ne pourra pas renvoyer le délégué en cas de désaccord avec celui-ci sur une question relative à la protection de données.

Attention : Toutefois, le délégué peut voir sa responsabilité pénale engagée s’il viole de manière intentionnelle une des dispositions pénales du RGPD ou de la Loi Informatique et Libertés.

Comment devenir DPO ?

Afin de devenir DPO, les candidats doivent faire preuve de plusieurs qualités. Par ailleurs, il existe désormais une certification permettant d’attester des compétences du DPO.

Les qualités du délégué à la protection des données

Le délégué à la protection de données doit être désigné sur la base de ses qualités professionnelles et ses connaissances spécialisées du droit et des pratiques en matière de protection de données. Il doit également faire preuve de capacité à accomplir les missions requises.

Ainsi, les critères requis sont les suivants :

  • Une communication efficace au sein de l’entreprise et l’indépendance vis-à-vis de l’entreprise.
  • Qualité d’expert en matière de protection de données personnelles et formation continue, c’est-à-dire l’adaptation des compétences du délégué à l’activité de l’entreprise et aux traitements des données personnelles.
  • Création d’un lien au sein des filiales d’un même groupe (exemple : créer une équipe d’experts en protection de données au sein du groupe d’entreprises)
  • Avoir une position efficace dans l’entreprise en interne permettant de faire remonter les informations concernant la protection des données le plus vite possible en cas de risques de violation des données personnelles

Il n’existe donc pas de profil type du délégué à la protection des données. En effet, il n’est pas obligatoire de disposer d’une formation juridique ou informatique afin de devenir DPO.

A noter : Les personnes ayant été désignées CIL peuvent aisément devenir DPO au sein de leur entreprise. Toutefois, cette reconversion n’est en aucun cas automatique.

La certification du DPO

Si la profession de DPO n’exige pas de disposer d’une formation spécifique, il existe désormais une certification de DPO. En effet, la CNIL a mis en place une certification des compétences du DPO. Cela permet alors aux professionnels de démontrer qu’ils répondent aux exigences de compétences et de savoir-faire requis par le RGPD.

Cette certification constitue ainsi un avantage pour les DPO car cela permet d’instaurer un climat de confiance entre l’entreprise, les salariés et les clients. Elle permet également aux futurs de DPO de se différencier sur un marché qui devient de plus en plus concurrentiel.

Toutefois, la certification DPO n’est en aucun cas obligatoire pour exercer la fonction de DPO. Par ailleurs, la certification peut également être obtenue par des personnes non désignées comme DPO.

FAQ

Qu’est-ce qu’un DPO ?

Un délégué à la protection des données (ou DPO) est une personne dont la mission est de veiller au respect du RGPD par l’organisme pour lequel il exerce. Il a ainsi la responsabilité de conseiller l’organisme en matière de données personnelles et de contrôler sa conformité. Il peut être interne ou externe à l’entreprise.

Est-il obligatoire de désigner un DPO selon le RGPD ?

Selon le RGPD, il n’est pas obligatoire de désigner un DPO. En effet, on recense uniquement trois situations dans lesquelles la désignation d’un DPO est obligatoire. C’est par exemple le cas lorsqu’une entreprise traite des données sensibles ou lorsque le traitement est effectué par un organisme public.

Qui peut devenir DPO ?

En principe, il n’existe pas de diplôme ou de formation requises afin de devenir DPO. En effet, il n’est pas obligatoire de disposer d’une formation juridique ou informatique afin de devenir DPO. Cependant, il est indispensable de disposer de connaissances solides en matière de respect des données personnelles.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 21/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments