+33 1 86 65 20 01

Tout savoir sur le rôle du DPO

Désigné sur la base de ses qualifications en informatique et en droit, le DPO est l’homme clef du RPGD : un véritable gardien du temple ! Le Data Protection Officer vous conseillera et vous aidera à vous mettre en conformité avec le nouveau règlement. Mais avant toute chose, pourquoi nommer un DPO et est-ce obligatoire?

Rôle et missions du DPO

Le DPO est le référent RGPD auprès des traitants ou sous-traitant de données personnelles.

Véritable lien entre l’autorité de contrôle (en France, la CNIL) et la structure, il est un expert en la matière !

C’est notamment lui qui sera chargé de veiller au respect du RGPD et d’accompagner la structure tout au long de sa mise en conformité.

Avant de nous étaler sur les missions du DPO, il faut tout d’abord noter les caractéristiques incontournables de celui-ci.

Il doit impérativement être indépendant et capable de mener ses missions sans créer de conflits d’intérêts.

Ce n’est donc pas lui qui sera chargé de déterminer la finalité des fichiers de données, ni la stratégie de l’entreprise en matière de collecte et de traitement.

Le DPO est le maitre de la conformité : il a plus volontiers la casquette d’auditeur que d’agent opérationnel.

En plus d’informer et de conseiller la structure en charge du traitement des données, le DPO doit s’assurer du respect du RGPD et coopérer pleinement avec l’autorité de contrôle.

Etant le point de contact de la CNIL, il doit posséder des qualités éthiques qui lui permettront de s’affranchir de la structure dont il est en charge pour demeurer objectif et collaborer sans conflit d’intérêt.

En termes de missions, le DPO est chargé d’orienter l’organisme vers la réalisation des analyses d’impacts et de s’assurer de la bonne exécution de celles-ci.

Il doit aussi informer les structures des réglementations en vigueur et s’assurer de leur respect.

Dans ses missions, le DPO est amené à délivrer ses rapports aux dirigeants des structures concernées.

Qui peut être DPO ?

Le DPO rend directement des comptes à l’autorité de contrôle et fait ses rapports aux dirigeants des organismes concernés par le RGPD. Il doit donc être en mesure de s’adresser au plus haut niveau de direction d’une structure.

Doté de compétences en droit et informatique, il doit être formé en continu pour rester informé des actualités et évolutions en matière de réglementation sur la protection des données personnelles.  

Le DPO peut être un employé des traitants ou sous-traitant, un agent externe ou interne à la structure, et exercer à plein temps ou à mi-temps. Le panel de candidats pour ce poste est donc assez vaste. Quel que soit son profil, il est soumis à la confidentialité et au secret professionnel.

Est-il obligatoire de nommer un DPO  ?

Voici une question que bon nombre de dirigeants se posent. La réponse du RGPD à ce sujet peut paraître ambigüe sur certains points, éclaircissons donc le sujet ensemble ! Voici, tout d’abord, la liste des organisations tenues de nommer un DPO, selon le RGPD :

  • Autorités ou organismes publics ;
  • Structures dont l’activité de base consiste à traiter des données dites sensibles à grande échelle ;
  • Structures dont les activités de bases impliquent des opérations de traitement de données régulières ou exigeant un suivi à grande échelle des personnes concernées.

C’est le troisième cas qui a tendance à questionner les entreprises. A l’heure où la collecte d’information est presque systématique, comment savoir si votre structure doit désigner un DPO ? Parmi les éléments de réponses, il apparaît que les entreprises qui effectuent un traitement de données quasi-systématique, mais dont ce n’est pas l’activité de base, n’ont pas besoin de nommer un DPO.

Pour estimer votre besoin de désigner un Délégué, vous pouvez vous baser sur les quatre facteurs suivants :  le nombre de personnes dont les données sont collectées, le volume de données, la durée et la fréquence du traitement des données et son étendue géographique. A titre d’exemple, il semblerait que les entreprises en ligne réalisant du profilage de leurs clients ne sont pas considérées comme effectuant un suivi durable, régulier et à grande échelle de ceux-ci. De plus, si le traitement de données n’est pas directement relatif à leur activité principale, alors la désignation d’un DPO n’est pas nécessaire. Ces lignes encore floues qui encadrent la nécessité de désigner un DPO s’avèrent fâcheuses sur le plan de la sécurité juridique. C’est néanmoins une volonté du RGPD, qui amène volontairement les entreprises à se questionner sur leurs pratiques et à se responsabiliser. Obligatoire ou non, il reste fortement conseillé de nommer un DPO qui vous guidera dans votre mise en conformité et vous apportera une sécurité juridique appréciable.

Nous contacter