Connaissez-vous le délégué à la protection des données (DPO) ? Véritable chef d’orchestre, il conseille et accompagne les organisations dans leur mise en conformité avec le RGPD. Mais quelles sont ses missions exactes ? Qui peut devenir DPO ? Sa nomination est-elle obligatoire ? Quel est le rôle du DPO ? Focus sur cet acteur-clé du RGPD !
Qui est le DPO ?
Nommer une personne en charge de la bonne gestion des données personnelles au sein des organisations ne date pas d’hier. Avant le 25 mai 2018, c’était le rôle du Correspondant Informatique et Liberté. Cette fonction restait cependant marginale et non obligatoire. Le Règlement Général sur la Protection des données a entériné les fonctions et les missions du DP. Elle a rendu sa nomination obligatoire dans certains cas. Concrètement, le DPO est chargé de mettre en œuvre la conformité au RGPD des organisations qu’il accompagne. S’il peut être interne ou externe, et même mutualisé (c’est-à-dire désigné pour plusieurs entreprises en même temps), le délégué doit impérativement disposer de connaissances spécifiques pour exercer ses fonctions. Tout le monde ne peut donc pas devenir DPO ! Les entreprises doivent également mettre à sa disposition des moyens matériels et organisationnels pour mener à bien ses missions. Mais justement, ces missions, quelles sont-elles ?
Le rôle du DPO en bref
Le délégué à la protection des données est le chef d’orchestre de la mise en conformité avec le RGPD. Il doit être impliqué dans toutes les problématiques liées à la protection des données personnelles. À cet effet, le rôle du DPO est d’exécuter les missions suivantes :
- Il a un rôle d’information et de conseil auprès du responsable de traitement ou de son sous-traitant, et auprès de leurs salariés.
- Il contrôle le respect du règlement et du droit national en matière de protection des données.
- Il conseille l’organisation sur la réalisation d’une analyse d’impact relative à la protection des données, et il en vérifie la bonne exécution.
Il est le point de contact de l’autorité de contrôle (ici, la CNIL) et coopère avec elle. À noter que le DPO n’est jamais personnellement responsable en cas de non-conformité de son organisme avec le règlement.
Les expertises et qualités d’un bon DPO
L’article 37.5 du règlement européen stipule que le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». Il n’existe pas de profil type de DPO, et ces derniers sont issus de différents domaines, par exemple juridiques ou techniques. Cependant, pour exercer cette fonction, il faut réunir une expertise pointue et des compétences professionnelles particulières :
- Le DPO doit être apte à exercer ses missions en toute indépendance, c’est-à-dire qu’il ne doit pas avoir de conflits d’intérêts avec ses autres tâches.
- Il doit connaître sur le bout des doigts la législation qui entoure la protection des données, ainsi que sa mise en pratique.
- Il doit idéalement posséder une bonne connaissance du secteur d’activité au sein duquel il exerce sa mission, afin d’être en mesure de déterminer les besoins spécifiques de l’organisation qu’il accompagne.
- Il doit être apte à rapporter au plus haut niveau de la hiérarchie de l’organisation qui l’a nommé, c’est pourquoi son positionnement en interne doit être efficace et reconnu.
- En tant qu’interlocuteur de toutes les parties prenantes de la mise en conformité, le DPO doit être un excellent communiquant.
Dans quels cas la nomination d’un DPO est-elle obligatoire ?
Si la nomination d’un DPO n’est pas obligatoire dans toutes les entreprises, il existe des cas où la loi ne transige pas. Vous devez impérativement désigner un délégué à la protection de données si vous représentez :
- Un organisme public.
- Un organisme qui traite des données personnelles à grande échelle.
- Un organisme qui traite à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Si vous ne faites pas partie de ces 3 cas, désigner un DPO reste optionnel… mais fortement encouragé par les membres du G29, le groupe de travail européen sur la protection des données. Faire appel à un DPO est en effet le meilleur moyen d’identifier et de coordonner les actions à mettre en place au sein de votre entreprise quant à la protection des données personnelles que vous traitez. Vous avez donc tout à gagner à faire appel à un professionnel pour votre mise en conformité RGPD !
