News
Confidentialité Vie privée données personnelles

En quoi le DPO joue-t-il un rôle clé dans la mise en oeuvre du RGPD ?

Recevoir la newsletter

Se mettre en conformité avec le RGPD peut représenter un chantier important pour bon nombre d'entreprises. Aussi la désignation d'un DPO ou Data Protection Officer facilitera cette étape. Examinons quel est véritablement son rôle et en quoi il peut être un atout pour les entreprises.

Qu’est ce que le Data Protection Officer ?

Le DPO est le successeur du CIL (Correspondant Informatique et Liberté) dont la désignation était jusque là facultative. C’est avec l’arrivée du nouveau règlement européen sur la protection des données (RGPD) qu’émerge ce nouveau métier.

Bien qu’il n’y ait pas réellement de profil-type pour ce poste, le DPO doit posséder des qualités professionnelles et des compétences particulières. Il s’agit notamment de solides connaissances en droit relatif à la protection des données et un certain niveau d’expertise technique. Ce dernier devra notamment pouvoir se former en continue afin d’entretenir son savoir spécialisé.

Il se pose en véritable pilote de la mise en conformité au RGPD en exerçant des missions de conseil et de sensibilisation. À ce titre il est le référent auprès de la CNIL. Il est donc chargé de lui transmettre les documents de conformité ou les déclarations de violation de la vie privée. Il pourra en cas de besoin demander conseil à la CNIL pour mener à bien ses missions.

telecharger-checklist-rgpd

Dans quels cas est-il obligatoire de désigner un DPO ?

Dès le 25 mai 2018, la désignation d’un Data Protection Officer sera obligatoire dans certains cas :

  • Pour les organismes du secteur public quelque soit la nature des traitements des données
  • Pour les entreprises dont l’activité entraîne le traitement de données à grande échelle (profilage par exemple)
  • Pour les sociétés qui traitent, toujours à grande échelle, des données personnelles dites “sensibles” (santé par exemple)

Il est fortement recommandé aux entreprises qui sont dans les cas cités ci-dessus d’entamer dès maintenant la désignation de leur DPO. Les organismes ayant déjà recours à un CIL gagneront un temps non négligeable à ce niveau-là.

Dans les autres cas, le recours à un Data Protection Officer est certes facultatif mais vivement recommandé. Le DPO peut être employé à temps complet ou partiel, être interne ou externe, voire mutualisé (Actuellement des cabinets d’avocat propose des prestations de CIL qui deviendront des DPO). La mise en conformité au GDPR (General Data Protection Regulation) concerne toutes les entreprises. C’est pourquoi Il est conseillé d’avoir un référent pour mener dans les temps ce chantier important.

 

Quel est son rôle et quelles sont ses moyens d’action ?

Le DPO possède deux missions principales : conseiller les entreprises pour leur mise en conformité (cartographie des traitements, documentation, etc.) et sensibiliser sur les nouvelles obligations du GDPR (vérification de la bonne exécution des PIA).

Afin de pouvoir exercer son rôle efficacement, l’entreprise est tenue de mettre à disposition les moyens d’action dont il a besoin, à savoir :

  • Être impliqué dans toutes les questions relatives à la protection des données
  • Fournir les ressources nécessaires : budget, équipe, formation
  • Lui permettre d’agir de manière indépendante par son positionnement dans l’organisme notamment
  • Lui donner accès aux données et aux traitements pour faciliter la transmission à la CNIL par exemple

Pour assurer la gouvernance des données de l’organisme auquel il est rattaché, le DPO exerce son rôle clé autour de 4 missions :

  • Information et conseil auprès du responsable de traitement ou du sous-traitant et leurs employés
  • Contrôle de conformité
  • Conseil sur la réalisation des PIA et vérification de leur bonne exécution
  • Coopération avec l’autorité de contrôle auprès de laquelle il est le point de contact

Attention cependant, le Data Protection Officer n’est en aucun cas personnellement responsable en cas de non-conformité de son entreprise avec le RGPD. En effet, celle-ci incombe directement au responsable de traitement ou au sous-traitant.

Le DPO est donc un élément moteur de la mise en conformité des entreprises au RGPD. Bien que sa désignation ne soit pas systématiquement obligatoire, son recours peut être un véritable atout. En effet, en pilotant la gouvernance des données, il offre des opportunités stratégiques à saisir pour l’entreprise.

telecharger-checklist-rgpd