Qu'est ce qu'un DPO ?

Les obligations mises à la charge des entreprises : la nomination d’un délégué à la protection des données

Le Data Protection Officer (DPO), ou Délégué à la Protection des Données (DPD), est la personne au cœur du RGPD. Succédant au CIL (Conseiller Informatique et Libertés), il a pour mission de mettre son entreprise en conformité avec le règlement européen sur la protection des données et de devenir l’interlocuteur privilégié de la CNIL.

La désignation d’un DPD est-elle obligatoire d’après le RGPD ?

Oui, pour les organismes et les autorités publics, et pour les structures dont l’activité est centrée sur une étude à grand échelle régulière et systématique des personnes. De la même manière, les entreprises qui gèrent une importante base de données à caractère sensible (celles qui font apparaître les origines ethniques ou religieuses, par exemple) ou relatives à des infractions et à des condamnations pénales et infractions doivent procéder à la nomination d’un DPD.

Dans les autres cas, la nomination d’DPD (DPO) n’est pas obligatoire, mais elle est fortement recommandée par l’ensemble des 29 pays soumis au RGPD, dans le but de spécialiser et de coordonner les initiatives à mener pour la protection des fichiers de données personnelles.

Le DPD est-il forcément un salarié de l’entreprise ?

Non, les structures peuvent désigner à leur convenance un DPD (DPO) issu de leurs salariés ou externes à l’entreprise. Elles peuvent même recourir à un DPD mutualisé, en association avec d’autres sociétés.

D’après le RGPD, qui peut devenir DPD (DPO) ?

En vertu de l’article 37.5 du RGPD, le délégué doit être choisi « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ».

Idéalement, le DPD doit posséder de solides connaissances juridiques en matière de protection des données, et son degré d’expertise doit être en fonction de la sensibilité des données personnelles recueillies.
Il doit également bien connaître le secteur d’activité et le mode de fonctionnement de la structure quant au traitement et à la sécurisation des données.
Il doit être doté de bonnes capacités d’expression et d’animation, car il sera amené à recourir à des experts extérieurs à l’entreprise, à impulser des équipes ou à collaborer avec la CNIL.

Le DPD et le conflit d’intérêt

Le DPD doit être en mesure d’exercer ses missions en toute indépendance et sans entrer dans un conflit d’intérêt avec d’autres missions qu’il occupe par ailleurs. Il risque d’y avoir conflit d’intérêt lorsque le DPD travaille à la fois sur les finalités et sur les moyens du traitement de données personnelles. Certaines professions telles que directeur général, secrétaire général, médecin-chef ou encore directeur des ressources humaines, peuvent conduire à des conflits d’intérêt, car ces personnes sont susceptibles d’être à la fois juge et partie.

D’après le RGPD, quelles sont les missions du DPD (DPO) ?

Au cœur du dispositif introduit par le RGPD, le DPD (DPO) a plusieurs missions à assumer. Il doit :

  • Conseiller et informer sur la législation le responsable ou le sous-traitant du traitement de données personnes
  • Vérifier la conformité de l’entreprise au RGPD, et qu’elle respecte bien les termes du règlement
  • Aider la structure à réaliser l’analyse d’impact relative à la protection des données et à en contrôler la bonne exécution
  • Être en lien avec la CNIL

Quelles sont les moyens d’action du DPD (DPO) ?

Le DPD doit être en mesure de mener à bien ses missions, et ce de manière indépendante. L’entreprise doit donc fournir toutes les ressources nécessaires, tant en finances qu’en personnel et en temps.
Le DPD doit avoir un accès simplifié aux traitements et aux données.

Quand faut-il désigner le DPD (DPO) ?

La désignation du DPD (DPO) deviendra effective à la date d’entrée en vigueur du règlement, autant anticiper en s’y prenant avant le 25 mai 2018.