Le DPO, Data Protection Officier ou délégué à la protection des données personnelles, est celui qui est en charge de mettre les entreprises et organismes en conformité avec le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis le 25 mai 2018). Il agit au sein de la structure l’ayant désigné, sur l’ensemble des traitements qu’elle effectue. Il a donc un rôle important et doit disposer de compétences professionnelles spécifiques. Sa désignation, possible en interne ainsi qu’en externe, peut être obligatoire, en fonction des cas. Découvrez nos conseils pour trouver un DPO pour votre société.
Qui peut être DPO ?
L’article 37.5 du règlement européen appuie sur le fait que le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».
Peut donc être DPO toute personne dotée :
- d’une forte culture juridique en matière de protection des données personnelles ;
- d’une compréhension de l’activité et de l’organisation de la structure pour laquelle elle agit ;
- d’un discernement parfait sur les opérations de traitement en fonction des besoins de l’organisme ;
- de bonnes de compétences informatiques qui viennent lui servir dans la mise en œuvre de ses missions ;
- d’une bonne communication pour l’exercice de sa mission de manière indépendante.
Attention, le DPO désigné ne doit pas exercer des missions ou fonctions susceptibles de créer un conflit d’intérêts (tel que secrétariat général, par exemple).
Notons également que le positionnement du DPO en interne doit être sur l’un des niveaux les plus élevés de la structure afin que ces actions soient efficaces. Qu’il soit recruté en interne ou en externe, le DPO qui pilotera la mise en conformité de l’entreprise au RGPD devra avoir toute la confiance des salariés de l’entreprise qui devront coopérer avec lui au quotidien.
Qui doit désigner un DPO ?
La désignation d’un délégué à la protection des données est obligatoire pour :
- les administrations et organismes publics,
- les structures dotées de bases de données créées pour réaliser un suivi régulier d’un grand nombre de personnes,
- les organismes traitant des données dites « sensibles ».
Les grands groupes et la majorité des e-commerçants sont concernés par cette obligation. Dans les autres cas, sa désignation n’est pas obligatoire, mais fortement recommandée.
Sachez qu’un même DPO peut être désigné pour plusieurs structures. C’est ce que l’on appelle la mutualisation du DPO. Enfin, il peut intervenir pour votre compte à temps plein ou à temps partiel. La majorité des PME opte pour un DPO externalisé, car les besoins ne nécessitent pas d’une personne à temps plein et qu’il est financièrement plus avantageux d’arrêter son choix pour cette solution.
Quel est le rôle d’un DPO ?
Le rôle du DPO a été créé lors de la mise en place du RGPD afin d’accompagner les entreprises dans l’application de celui-ci. Il doit mettre en place toutes les actions nécessaires pour respecter les nouvelles obligations. Sa mission se décompose en 4 étapes :
- Informer l’ensemble des personnes en charge du traitement de données personnelles de leurs obligations légales par rapport à la protection des données ;
- Veiller au respect des réglementations en vigueur ;
- Apporter des conseils personnalisés pour améliorer la collecte des données personnelles et assurer la protection des données de l’entreprise ;
- Entretenir le lien entre l’entreprise et la CNIL, et coopérer avec l’autorité de contrôle.
Les actions menées par votre DPO vous permettent d’éviter toute sanction de la part de la CNIL. Le DPO a une position totalement neutre, il veille à ce que la loi soit correctement appliquée.