RGPD : Qu’est-ce qu’un DPO ?

21-08-2018   •   3 min de lecture

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données personnelles (RGPD ou GDPR en anglais), un métier s’est imposé : le DPO. Le “Data Protection Officer” ou “Délégué à la Protection des Données” est même devenu légalement indispensable dans certaines entreprises afin de se conformer aux règles prévues par le RGPD. Qui est-il ? Quelles sont ses missions ? Dans quels cas est-il nécessaire et quel est son rôle ? Réponse à ces questions (et à d’autres) dans cet article.

Qu’est-ce qu’un DPO ?

Qui est le DPO ?

Il s’agit de la personne en charge de la protection des données personnelles dans l’organisation. Il peut intervenir au service :

  • D’un organisme public ;
  • D’une entreprise ;
  • D’une association ;
  • De toute autre structure collectant des données de citoyens européens.

Vous ne connaissiez pas ce métier ? C’est normal, il ne pourrait être plus récent. C’est une fonction nouvelle, conçue en vue du RGPD 2018 qui est entré en vigueur le 25 mai 2018.

Dès le 13 décembre 2016, date d’adoption du RGPD, les premiers DPOs ont commencé à émerger. Ils ont agi pour mettre en conformité les organisations avant l’entrée en vigueur des nouvelles règles. Ils continuent depuis à maintenir les organisations en conformité. Désigner un DPO est même devenu obligatoire pour de nombreux acteurs économiques et ne pas se soumettre à cette obligation est passible de sanctions.

Notez que le DPO peut être employé par une organisation, mais il peut tout à fait être indépendant. Il réalise alors une prestation de services. Les grandes entreprises ont tendance à recruter en interne leurs DPOs. En revanche, les PME et les startups externalisent davantage ces fonctions. Les consultants DPO sont par ailleurs très recherchés en raison de la flexibilité induite pour l’entreprise.

Quelles sont ses missions ?

Concrètement, que fait un DPO au quotidien ? Il :

  • informe en interne sur le thème du RGPD ;
  • conseille la direction et les collaborateurs (surtout marketing, RH et growth hacking) sur des pratiques et des décisions liées à la collecte et/ou au traitement des données personnelles ;
  • forme le ou la responsable du traitement de données en interne (ou le sous-traitant le cas échéant) sur les nouvelles obligations ;
  • vérifie et contrôle la bonne application du RGPD dans l’organisation ;
  • coopère directement avec la CNIL (Commission nationale de l’informatique et des libertés) et en est un interlocuteur privilégié.

En résumé, le DPO s’assure que le respect de la règlementation de protection des données est optimal et in fine, que son organisation est en conformité. Il est devenu, depuis le 25 mai 2018, un maillon essentiel de toute entreprise, administration ou association.

Quand est-il obligatoire ?

Toute organisation est en droit de se doter ou de faire appel à un DPO pour assurer la protection des données collectées. Toutefois, certaines n’ont d’autre choix d’un point de vue juridique que de s’y atteler. Ainsi, les responsables de traitement des données ainsi que les sous-traitants éventuels doivent ainsi obligatoirement désigner un DPO dans les cas suivants.

Les organisations publiques

Lorsque c’est une autorité ou un organisme public qui effectue le traitement ou la collecte des données, les services d’un DPO sont obligatoires. Le RGPD ne donne cependant pas de définition exacte des termes « autorité ou un organisme public », le droit national des différents Etat Membres de l’Union Européenne doit donc expliciter ces notions.

Certaines entreprises, associations et autres organisations privées

Si la nature, la portée ou la finalité des activités de base d’une entreprise, association ou autre organisation privée implique de réaliser un suivi régulier mais également systématique d’individus à grande échelle, le DPO devient obligatoire.

C’est également le cas si leurs activités principales nécessitent de traiter des données sensibles à grande échelle. Les données sensibles sont essentiellement des données d’ordre génétique, biométrique, sanitaire, idéologique, religieux ou politique.

Enfin, une précision s’impose dans le cas où le responsable du traitement des données désigne un DPO : son sous-traitant n’est alors plus obligé d’en nommer un. L’inverse est également d’actualité.

Attention, toute la protection data ne doit pas reposer sur un DPO !

Bien qu’il s’agisse de sa fonction, ce n’est pas au DPO de gérer l’ensemble de la protection des données de l’organisation ! Ce domaine étant à la fois transverse et très important, tous les métiers de l’entreprise doivent être concernés et impliqués. Pour ce faire, l’information, la communication et la sensibilisation en interne sont capitales.

Pour en savoir encore davantage sur le DPO, vous pouvez suivre ce lien.

Enfin, un chatbot RGPD peut grandement aider une organisation à se maintenir en conformité avec ces nouvelles obligations. En effet, il ne remplace pas un DPO, mais il le complète efficacement ! N’hésitez pas à nous contacter pour en savoir plus sur notre chatbot RGPD.

Tags