Le DPO, une fonction clé pour les entreprises

DPO, qui es-tu ?

Pour commencer, il est important de rappeler que le RGPD* indique les règles relatives à la nomination, aux fonctions et aux missions du Délégué à la Protection des Données (DPD) ou DPO en anglais (Data Protection Officer). Les lignes directrices concernant les délégués à la protection des données (DPO), adoptées le 13 décembre 2016, révisées et adoptées le 5 avril 2017, apportent des précisions quant à ces dispositions.

Le principe de la fonction de DPO n’a rien de récent. Il remonte à la Directive 95/46/CE, précédant la mise en application du RGPD. En synthèse, le DPO a un rôle central au sein de son entreprise pour favoriser le respect des règles de protection des données personnelles et sa mise en place dans l’entreprise. Ce dernier doit englober l’ensemble des acteurs et métiers : RH, Finance, Informatique, Commerce, Production… Le DPO est également le point de contact entre son entreprise, les clients, les fournisseurs, les partenaires et l’autorité de contrôle nationale.

Les critères de désignation du DPO sont donc déterminants quant à la réussite de ses missions.

Comment le désigne-t-on ?

Un DPO unique peut être désigné pour plusieurs entreprises et il peut être externe. Sa désignation peut être obligatoire si l’entreprise est confronté à certains critère. Par exemple, lorsque l’entreprise doit opérer un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsqu’il y a traitement à grande échelle de données sensibles ou de données pénales.

Le niveau d’expertise du DPO doit être proportionné à la spécificité des données traitées par son entreprise. Il doit être désigné d’une part sur la base de qualités professionnelles :

• Connaissances/pratiques juridiques, organisationnelles,
• Capacités d’animation d’un dispositif lui permettant d’accomplir ses missions

D’autre part, sur la base de ses qualités personnelles : il doit disposer d’un haut niveau d’intégrité et de déontologie, qualités à partir desquelles il pourra développer, au sein de son entreprise, une véritable culture de protection des données personnelles.

Quel est son rôle ?

Le DPO ou ses relais, doivent être associés à toutes les questions relatives à la protection des données personnelles dans l’entreprise. Il est recommandé de le consulter avant toute conception de projet impliquant un traitement de données. Ses avis doivent être pris en considération. Si une violation de donnée est constatée, le DPO doit en être immédiatement informé.

L’organisme doit aider son DPO en lui fournissant toutes ressources pour exercer ses fonctions : budget de fonctionnement, conseil externe, formation continue, accès aux clubs DPO…).

Pour garantir son indépendance, le DPO ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses missions. Le responsable du traitement reste le seul responsable du respect de la législation sur la protection des données personnelles. Ainsi, il ne peut subir des sanctions ou être relevé de ses fonctions pour l’exercice de ses missions.

Sa fonction peut être menée avec une autre fonction, à la condition que cela n’entraîne pas de conflits d’intérêts. L’évaluation de situation de ce type doit être effectuée au cas par cas.

Quelles missions pour le DPO ?

Le DPO s’assure que son entreprise respecte les obligations du RGPD. D’une part, au travers d’une collecte d’informations (inventaire des traitements). D’autre part, grâce à la mise en place de procédures et documents essentiels (privacy by design, notifications de violation de données, politique de protection), de vérification de la conformité des traitements (audits) et de conseil auprès du responsable du traitement.

Il doit coopérer avec l’autorité de contrôle et faire office de point de contact afin de faciliter l’accès de l’autorité aux documents et informations nécessaires en cas d’audit. Il peut également contacter l’autorité de contrôle pour demander son avis.

Son approche doit être fondée sur les risques, en tenant compte “ de la nature, de la portée, du contexte et des finalités du traitement. ”

Pour conclure, la fonction de DPO, au cœur du RGPD, est un élément central de la mise et du maintien en conformité de l’entreprise. Les modalités de son choix sont donc cruciales. A défaut de DPO intervenant dans un cadre réglementé, il est toujours recommandé de désigner un ou des collaborateur(s) en charge de la question des données personnelles dans l’entreprise.

*RGPD : Règlement Général sur la Protection des Données