Le DPO Interne, externe ou encore mutualisé, le rôle essentiel pour les organisations.
Une des obligations du RGPD « Règlement Général sur la Protection des données » entré en application le 25 Mai 2018 est le DPO ‘’Data Protection Officer’’ ou en français « Délégué à la Protection des Données ». Le règlement impose à certaines organisations et dans certains cas de figure, de désigner un Délégué à la Protection des données « DPD/DPO ».
Beaucoup de PME et TPE voient cela comme une contrainte supplémentaire pour leur organisation et une nouvelle ligne budgétaire. Mais en fait, c’est quoi un DPO ?
Data Protection Officer : Qui est-il ?
Un vrai chef d’orchestre ! Certains diront qu’il est un homme de loi, d’autres que c’est un Geek ou encore Superman. Je vous l’accorde : c’est un mouton à cinq pattes !
En réalité, le règlement ne définit pas exactement son profil, la seule chose évidente étant son niveau d’expertise, bien qu’il reste vaguement défini. Son choix est donc crucial : vous devez privilégier une personne ayant une vraie connaissance du règlement, de préférence avec un profil opérationnel et qui connaît le milieu de l’entreprise, ses enjeux et son fonctionnement. Une étude menée pour la CNIL en 2015 a en effet montré que les Correspondants Informatique et Libertés proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).
De plus, il est indispensable que le DPO/DPD ait l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le Délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions au sein de l’organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement.
Evitons d’être à la fois « juge et partie » !
Son rôle
- Informer et conseiller le Responsable de Traitement ou le Sous-Traitant, ainsi que leurs employés ;
- Contrôler le respect du règlement et du droit national en matière de protection des données ;
- Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- Coopérer avec l’autorité de contrôle et être le point de contact de celle-ci ;
- Sensibiliser et former le personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
Les trois cas où la désignation d’un DPO/DPD est obligatoire
Selon l’article 37 du RGPD, la désignation d’un DPO/DPD devient obligatoire lorsque :
- Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- Les activités de base du Responsable du Traitement ou du Sous-Traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- Les activités de base du Responsable du Traitement ou du Sous-Traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relative à des condamnations pénales et à des infractions visées à l’article 10 du règlement.
Même lorsque le règlement n’exige pas spécifiquement la désignation d’un DPO/DPD, les entreprises peuvent parfois juger utile d’en désigner un, sur une base volontaire. Nous les encourageons à le faire ! Pourquoi le désigner me diriez-vous s’il n’est pas obligatoire ? Tout simplement, parce qu’il vous facilitera le respect des règles, l’implication de vos collaborateurs et vous déchargera d’un certain nombre de tâches qui peuvent vous paraître complexes.
Vos obligations lorsque vous désignez un DPO/DPD
Une fois désigné, le DPO/DPD doit bénéficier de tout le soutien de l’organisme qui l’a désigné. L’organisme devra en particulier :
- S’assurer de son implication dans toutes les questions relatives à la protection des données ;
- Lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe) ;
- Lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
- Lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facile aux autres services de l’organisme) ;
- Veiller à l’absence de conflits d’intérêts.
Comme vous avez pu le constater, le métier de DPO est un métier à part entière qui requiert des qualités professionnelles et certaines connaissances spécifiques. Il peut également prendre beaucoup de temps en fonction de la taille de l’entreprise. Or, certaines PME/TPE n’ont pas forcément les ressources adéquates en interne, ni le besoin d’embaucher une personne à temps plein. Le RGPD permet alors aux organisations d’externaliser la mission de DPO/DPD.
Externaliser la mission de DPO/DPD
L’externalisation de cette mission vous permettra de :
- Vous appuyer sur le savoir-faire d’experts dont c’est le métier à plein temps et ainsi répondre au manque de ressources en interne ;
- Répondre aux obligations du RGPD en matière de conflit d’intérêts. Le fait d’externaliser la prestation est une vraie réponse à cette problématique pour les petites entreprises ;
- Vous assurer l’autonomie et l’indépendance que préconisent le règlement ;
- Bénéficier du niveau de formation continue du DPO, que celui-ci pourra par ailleurs partager avec vos collaborateurs ;
- Mettre en place de bonnes pratiques (cartographie, RIC Revue Initial de Conformité) permettant d’atteindre et de maintenir un bon niveau de conformité ;
- Maîtriser vos budgets.
Comment le désigner ?
La désignation de votre DPO se fait directement et uniquement sur le site de la CNIL (www.cnil.fr).
Attention ! Restez vigilant face aux arnaques et assurez-vous que votre futur prestataire, s’il est externe, ait de vraies connaissances en matière de protection des données.
Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Besoin d’aide, contactez-nous, nos consultants RGPD se feront un plaisir de répondre à vos demandes.