Instauré par le Règlement Général sur la Protection des Données (RGPD), le Data Protection Officer (DPO) est devenu un profil incontournable au sein de certaines organisations. Cette nouvelle fonction succède à celle des Correspondants Informatique et Libertés (CIL). Cependant, si la désignation des CIL était facultative, la nomination d’un DPO ou Délégué à la Protection des Données (DPD en français) est quant à elle obligatoire pour certaines entités. Quelles sont ses missions ? Dans quels cas êtes-vous tenu de nommer un DPO ? Cabinet de conseil et d’audit RGPD à Paris, NH Conseil vous répond.
Le DPO : définition et missions
Pour cerner les missions du Délégué à la Protection des Données, il convient de rappeler le principal objectif du RGPD. Entré en application en mai 2018, ce règlement a pour but d’harmoniser les pratiques en matière de protection des données personnelles au sein des Etats membres de l’Union Européenne. Il pose un cadre réglementaire commun destiné à protéger la vie privée des citoyens européens. A cet effet, le RGPD a instauré et rendu obligatoire dans certains cas, la désignation d’un DPO.
Personne en charge de la protection des données au sein d’une entreprise, le DPO veille à la mise en conformité RGPD de l’entité qui le recrute. Pour une structure, le fait de nommer un DPO permet de se reposer sur un expert à même d’assurer la mise en place des procédures et règles applicables au traitement de données personnelles. Doté de solides connaissances en matière de protection des données, pragmatique et bon communiquant, il est un profil incontournable pour certaines structures.
Le Délégué à la Protection des Données informe, conseille et forme les personnes en charge du traitement de la data, mais pas seulement. Interlocuteur privilégié de la CNIL (Commission Nationale Informatique et Libertés) et des personnes concernées au sein de l’entité, il assiste les décideurs dans la prise de leurs décisions en rapport avec la protection des données. A la faveur de son expertise, les organisations concernées peuvent s’appuyer sur ses connaissances pour déployer leur conformité et ainsi éviter les sanctions RGPD qui peuvent être infligées par la CNIL en cas de contrôle.
Dans quels cas devez-vous nommer un DPO ?
Si la nomination d’un DPD est fortement recommandée pour tous les organismes, elle est obligatoire pour certains organismes. En effet, l’article 37 du RGPD précise 4 cas de figure ou la désignation d’un DPO est une obligation légale.
Cas n°1 : Organisme public et autorité publique
Vous devez nommer un DPO si vous êtes un organisme public ou une autorité publique. Ces deux notions font référence à toute autorité nationale ou régionale. Sont considérés comme tel : l’Etat, les collectivités territoriales, les établissements publics administratifs. Sont aussi liés par la nomination d’un DPD, les organismes privés exerçant des missions d’ordre public.
La seule exception admise ici concerne les juridictions agissant dans l’exercice de leur fonction juridictionnelle. Pour autant, ces entités publiques doivent se conformer au RGPD.
Cas n°2 : Traitement à grande échelle de données sensibles
Si vos activités de base impliquent le traitement à grande échelle de données sensibles, vous êtes également obligé de nommer un DPO. La notion « d’activités de base » fait référence aux activités principales menées par le responsable de traitement ou le sous-traitant. Concrètement, il s’agit des activités qui constituent le cœur de métier de l’organisme.
Répertoriées à l’article 9 du RGPD, les données sensibles ou catégories particulières de données regroupent les informations révélant les opinions politiques, l’origine raciale ou ethnique, les convictions religieuses, l’orientation sexuelle, les données génétiques et biométriques. Les données relatives aux condamnations pénales ont aussi droit de citer ici.
Cas n°3 : Entreprises dont l’activité principale consiste en des opérations de suivi régulier et systématique à grande échelle des personnes
Si votre activité principale consiste en des traitements qui, par leur nature, leur portée et/ou leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes, vous avez l’obligation de nommer un DPO.
A titre d’exemple, nous pouvons citer les dispositifs de vidéoprojection déployés par les communes qui conduisent à une « surveillance systématique à grande échelle d’une zone accessible au public » de façon continue.
Le concept de « grande échelle » est délicat à cerner, étant donné qu’il n’existe pas de seuil à partir duquel un traitement peut être considéré comme effectué « à grande échelle ».
Il repose sur une analyse au cas par cas, sur la base de facteurs comme :
- Le nombre de personnes concernées ;
- Le volume ou le spectre des données traitées ;
- La portée géographique du traitement ;
- La durée ou la permanence de l’activité de traitement.
En synthèse, même si la nature de vos activités ne vous l’impose pas, nous vous recommandons fortement de nommer un DPO au sein de votre structure. Cabinet de conseil en protection des données personnelles, nous assurons la fonction de DPO et accompagnons votre mise en conformité au RGPD.