DPO, fonction et qualité requise pour le RGPD

Benoit

Un délégué à la protection des données ou DPO est une personne en charge de la protection des données personnelles d’un organisme (entreprise, administration). Cette fonction a été portée par le RGPD (Règlement Général sur la Protection des Données) mis en vigueur le 25 mai 2018. Il règlemente la désignation, les fonctions, les missions et la certification de ce dernier.

DPO, définition et attribution

Le DPO ou Data Protection Officer est une personne qui prend en charge la mise en place de la conformité de l’entreprise par rapport au RGPD. Le dpo rgbd doit également orienter, informer, conseiller et former le responsable du traitement de données et les employés. À ce titre, il :

  • Conçoit des actions de sensibilisation ;
  • Assure la conformité avec RGPD du traitement des données tout en le valorisant ;
  • Etablit le cadre de confiance autour des données entre les parties prenantes et les organismes ;
  • Est l’interlocuteur de référence de la CNIL lors des contrôles.

Aussi longtemps qu’il remplira ses obligations et sa mission, il ne sera pas tenu responsable du non-respect du RGPD de l’entreprise.

Le rattachement du DPO RGPD à l’entreprise

Le rattachement du DPO est l’un des points qui peuvent donner des divergences. Il doit avoir la liberté totale dans l’exercice de sa mission pour l’application du RGPD au sein de l’entreprise. Pour cela, il doit disposer de toutes les ressources nécessaires (matérielles et financière). Selon l’article 38 du RGPD, voici les quelques principes d’indépendance du DPO :

  • Il peut directement faire les rapports au plus haut niveau de la direction ;
  • Aucune instruction ne devra lui être donnée ;
  • Les désaccords entre le DPO et la direction doivent être écrits ;
  • Il ne peut déterminer en aucun cas les moyens et/ou les finalités d’un traitement ;
  • Au cas où DPO exerce une deuxième fonction, sa nomination ne devra pas être en condition de conflits d’intérêts avec son ancien poste.

Placer un DPO RGPD au sein d’un DSI n’est pas réellement une bonne idée, ce dernier peut influencer le point du DPO et risque de compromettre sa mission. La meilleure place pour lui serait un rattachement direct à la direction. Cependant, l’entreprise en question devra tout d’abord prendre en considération ces principes pour garantir les qualités professionnelles d’un DPO RGPD.

 

Engager un DPO, les compétences à vérifier

Chaque entreprise doit prendre en considération le fait d’engager un DPO pour faire des mesures de conformité du traitement des données personnelles. Pour assurer la conformité de l’entreprise, la personne en question doit posséder ces qualifications :

  • Connaissances approfondies des législations ;
  • Bonne connaissance des besoins de l’organisme et de son organisation ;
  • Connaissance des systèmes d’information ;
  • Capable d’utiliser les informations en ayant accès aux données ;
  • Capable d’être totalement indépendant ;
  • Suit de formations régulières pour exercer sa fonction.

En résumé, le prestataire au service de DPO RGPD doit avoir des connaissances spécialisées en la matière pour exercer. Il doit être garant de la conformité des traitements si l’entreprise en question assure l’application de ces recommandations.

Les entreprises ont-elles l’obligation d’engager un DPO RGPD ?

Le DPO est fortement recommandé par la CNIL. Les organismes qui sont tenus de nommer un DPO sont mentionnés dans l’article 37 du RGPD. À ce titre, les administrations sont les premiers qui doivent engager un DPO au sein de leurs équipes. Toutes structures publiques qui travaillent dans le traitement de données personnelles sont tenues d’engager un DPO (sauf la juridiction). Ceci concerne aussi toutes entreprises exerçant dans les opérations de traitements  de données qui exigent un suivi régulier ou qui regroupent des données « sensibles » et des données personnelles. L’obligation de recourir à un DPO dépend de la nature de l’activité, du nombre de personnes concernées, de l’entreprise en question et des données qui y sont traitées. Le fait de recruter un DPO RGPD ou pas dépend effectivement du besoin de l’entreprise. Il est aussi possible de choisir d’externaliser son DPO RGPD et vous pouvez trouver toutes les informations ici.