Le DPO Interne, Externe ou encore Mutualisé, il joue un rôle essentiel pour les organisations.
Une des nouvelles obligations du RGPD ‘Règlement Général sur la Protection des données’ entré en application le 25 Mai dernier est Le DPO ‘Data Protection Officer’ ou en français ‘Délégué à la Protection des Données’. Le règlement impose à certaines organisations et dans certains cas de figure, de désigner un Délégué à la Protection des données ‘DPD/DPO’. Beaucoup de PME et TPE voient cela comme une contrainte supplémentaire pour leur organisation et une nouvelle ligne budgétaire.
Selon l’article 37 du RGPD, voici les trois cas ou la désignation est obligatoire :
- Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- Les activités de base du Responsable du Traitement ou du Sous-Traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- Les activités de base du Responsable du Traitement ou du Sous-Traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relative à des condamnations pénales et à des infractions visées à l’article 10 du règlement.
Même lorsque le règlement n’exige pas spécifiquement la désignation d’un DPO/DPD, les entreprises peuvent parfois juger utile d’en désigner un sur une base volontaire et nous les encourageons à le faire même si cela semble compliqué dans certains cas. Pourquoi le désigner me diriez-vous s’il n’est pas obligatoire ? tout simplement, parce qu’il va vous faciliter le respect des règles, l’implication de vos collaborateurs et vous décharger d’un certain nombre de tâches qui peuvent vous paraître compliquées.
Data Protection Officer: Qui est-il ?
Un vrai chef d’orchestre ! Certains diront qu’il est un homme de loi, d’autres nous diront que c’est un Geek ou encore Superman mais je vous l’accorde c’est un mouton à cinq pattes. En réalité, le règlement ne définit pas exactement son profil, la seule chose évidente est son niveau d’expertise même s’il n’est pas strictement défini. C’est pour cela que son choix est crucial, vous devez privilégier une personne ayant une vraie connaissance du règlement, de préférence avec un profil opérationnel et qui connaît le milieu de l’entreprise, ses enjeux et son fonctionnement. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).
De plus, il est indispensable que le DPO/DPD ait l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le Délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »).
Son rôle
- Informer et conseiller le Responsable de Traitement ou le Sous-Traitant, ainsi que leurs employés ;
- Contrôler le respect du règlement et du droit national en matière de protection des données.
- Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- Coopérer avec l’autorité de contrôle et être le point de contact de celle-ci ;
- Sensibiliser et former le personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
Vos obligations lorsque vous désignez un DPO/DPD :
Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
- S’assurer de son implication dans toutes les questions relatives à la protection des données.
- Lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe) ;
- Lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
- Lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facile aux autres services de l’organisme) ;
- Veiller à l’absence de conflits d’intérêts.
Comme vous avez pu le constater, le métier de DPO est un métier à part entière qui nécessite certaines connaissances, Il peut également prendre beaucoup de temps en fonction de la taille de l’entreprise. Certaines PME/TPE n’ont pas les ressources en interne ni la nécessité d’embaucher une personne à plein temps, c’est pour cela que le RGPD permet aux organisations d’externaliser la mission de DPO/DPD.
Externaliser la mission de DPO/DPD :
L’externalisation de cette mission vous permettra de :
– Vous appuyer sur le savoir-faire d’experts dont c’est le métier à plein temps et ainsi répondre au manque de ressources en interne ;
– Répondre à certaines obligations du RGPD en matière de conflit d’intérêts. Le fait d’externaliser cette prestation est une vraie réponse à cette problématique pour les petites entreprises ;
– Vous assurer l’autonomie et l’indépendance que préconise le règlement ;
– Bénéficier de son niveau de formation continue qu’il pourra partager avec vos collaborateurs ;
– La mise en place de bonnes pratiques (cartographie, RIC Revue Initial de Conformité) permettant d’atteindre et de maintenir un bon niveau de conformité ;
– Maîtriser vos budgets.
Comment le désigner :
La désignation de votre DPO se fait directement et uniquement sur le site de la CNIL www.cnil.fr. Restez vigilant aux arnaques qui existent aujourd’hui et assurez-vous que votre futur prestataire, s’il est externe, ait de vraies connaissances en matière de protection des données.
Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Besoin d’aide, contactez-nous, nos consultants RGPD se feront un plaisir de répondre à vos demandes.