Le Délégué à la Protection des Données (DPO ou DPD) est le véritable pilote/chef d’orchestre du projet de la mise en conformité de cette réglementation dite RGPD ; applicable depuis le 25 mai 2018.

Huit mois ont passé depuis l’entrée en application le 25 mai 2018 du RGPD ….et beaucoup de TPE/PME demeurent encore circonspectes.

Si le dernier bilan de la CNIL est optimiste, il incite néanmoins les TPE/PME à s’activer…

Vous n’arriverez pas à mettre l’ensemble de vos traitements en conformité à 100%.

Il faut donc se concentrer sur l’essentiel : éliminer vos risques majeurs.

Consultez notre article : Conseils pour les TPE/PME pour se mettre en conformité avec le RGPD

Les missions principales du DPO

Informe et conseille l’organisme ainsi que les salariés/agents sur les obligations qui lui incombent en vertu du RGPD et d’autres dispositions de l’Union ou de l’EM concerné.

Contrôle le respect du RGPD, d’autres dispositions de l’UE ou de l’EM concerné et des règles internes du RT ou du ST (sensibilisation, formation du personnel, audits …).

Dispense des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et vérifie son exécution.

Coopère avec l’autorité de contrôle et fait office de point de contact pour les personnes concernées sur toute question en lien avec les traitements. S’assure de la bonne tenue de la documentation relative aux traitements.

3 cas obligatoires pour désigner un DPO dans un organisme

Pour toute autorité publique ou tout organisme public (collectivités territoriales, État, établissements publics, etc…) quel que soit la nature du traitement.

Si les activités de base de l’organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles (article 9 du RGPD) ou de données relatives aux condamnations pénales et aux infractions (article 10 du RGPD).

Le G29 encourage la désignation volontaire dans les petites structures, association.

Pour en savoir plusCNIL et le DPO

3 variantes possibles pour désigner un DPO

Interne : un salarié qui répond aux critères évoqués par la CNIL

Mutualisation possible : une flexibilité est laissée aux organismes

  • Dans le secteur privé : 1 même DPO pour un groupe d’entreprises à condition qu’il soir « facilement joignable à partir de chacun lieu d’établissement »
  • Dans le secteur public : 1 même DPO pour plusieurs organismes « compte tenu de leur structure organisationnelle et de leur taille »

Externalisation possible sur la base d’un contrat de service

  • Externalisation auprès d’une personne ou d’un organisme
  • Disparition de la limite prévue par le décret de 2005

Les points à vérifier avant de désigner votre DPO

Exigence de qualification du DPO selon :

  • Ses qualités professionnelles
  • Ses connaissances spécialisées de la législation en matière de protection des données
  • Sa capacité à accomplir les tâches énumérées à l’article 39

Absence de conflits d’intérêts :

  • Le DPO ne peut occuper une fonction au sein de l’organisme qui le conduit à déterminer finalités et moyens d’un traitement.
  • Les quelques fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts :
    • Secrétaire général.
    • Directeur général des services.
    • Directeur général.
    • Directeur opérationnel.
    • Directeur financier.
    • Médecin-chef.
    • Responsable du département marketing.
    • Responsable des ressources humaines
    • Responsable du service informatique etc.
  • Appréciation au cas par cas

Localisation au sein de l’U.E recommandée

Des moyens et ressources à obtenir afin de permettre l’exercice effectif de ses missions

  • Doit disposer des ressources nécessaires à l’exécution de ses missions (notamment accès aux données et aux traitements) et au maintien de ses connaissances.

Indépendance du DPO dans ses missions

  • Fait directement rapport au niveau le plus élevé de l’organisme (bilan annuel recommandé).
  • Indépendance dans l’accomplissement de ses mission
  • Pas de sanction du fait de l’accomplissement de ses missions.

Pour en savoir plus :

CNIL : vérification du statut, des compétences et des moyens nécessaires à l’exercice de des missions du DPO

La CNIL adopte deux référentiels pour la certification des compétences du DPO

En conclusion

adequate technologies_DPO_Data Protection Officer

Infos abréviations :

LIL = Loi Informatique et Libertés

RGPD = règlement général sur la protection des données

GDPR = general data protection regulation

CIL = Correspondant Informatique et Libertés

DPD = délégué à la protection des données

DPO = data protection officer

RT = Responsable de traitement

ST = Sous-traitant

G29 = groupe des CNIL de l’Union européenne (groupe de travail de l’article 29 de la directive 95/46/CE)

EM = État membre (de l’Union européenne)

LD = lignes directrices (guidelines)