Le RGPD introduit un nouvel acteur important dans la protection des données à caractère personnel : le Délégué à la protection des données(DPO). Il est le remplaçant du Correspondant Informatique et libertés. Voici tout ce qu’il faut savoir sur sa désignation.

Votre entité doit-elle désigner un DPO ?

Le RGPD prévoit que la désignation d’un DPO sera obligatoire pour le responsable du traitement et le sous-traitant dans certains cas :

• Si celui effectuant le traitement appartient au secteur public ;
• Si les activités du responsable ou du sous-traitant portent sur le suivi régulier ou systématique des personnes à grande échelle ;
• Si l’activité principale du responsable ou du sous-traitant porte sur le traitement de données sensibles (à grande échelle) : données portant sur des condamnations pénales, infractions, données de santé…

Hormis ces hypothèses, la désignation d’un DPO reste facultative sauf disposition contraire de la législation européenne ou de la législation nationale.

Qui peut être désigné comme DPO ?

La désignation du DPO doit se faire sur la base de ses qualités professionnelles. Le futur DPO doit posséder les quelques compétences suivantes :

• De solides connaissances du droit des nouvelles technologies et de la protection des données ;
• Une bonne compréhension de la complexité des opérations de traitement ;
• Une bonne connaissance du secteur d’activité de l’entreprise au sein duquel il sera amené à travailler ;

Dans tous les cas, rien n’empêche le DPO de se faire aider par un autre professionnel dans le cadre de l’accomplissement de ses missions. Il faut également rappeler que le DPO peut désigner en interne, en externe ou mutualisé.

Quelles sont les dispositions à mettre en place pour l’accueil de la fonction de DPO ?

Au sein de l’entreprise, toutes les questions relatives à la protection des données à caractère personnel doivent être associées au DPO. Pour mener à bien ses missions, ce dernier doit disposer de toutes les ressources nécessaires (documentation), avoir libre accès aux données et aux opérations de traitement et enfin, avoir l’occasion d’actualiser ses connaissances en matière de protection de données.

À part cela, l’entité au sein de laquelle travaille le DPO doit garantir l’indépendance de ce dernier, l’absence de conflit d’intérêts, et la confidentialité.

Quelles sont les missions du DPO au quotidien ?

Le DPO est le chef d’orchestre de la protection des données au sein de l’entité. Il sensible les différents collaborateurs aux nouvelles normes sur la protection des données et s’assure de la conformité des traitements avec le règlement en vigueur. D’après le RGPD, le DPO devrait au minimum remplir les missions suivantes :

• Assister ceux qui l’ont désigné dans leurs prises de décision en matière de protection des données ;
• Contrôler le respect des dispositions du RGPD au sein de l’entité ;
• Procéder à l’étude d’impact et vérifier la bonne exécution des mesures destinées à résoudre les problèmes de non-conformité ;
• Assurer la communication avec la CNIL et les personnes concernées par les traitements.

Rappelons que les missions du DPO ne se limitent pas à ces quelques points. Une nécessaire formalisation de ses missions sera souvent indispensable pour éviter les conflits d’intérêts et lui permettre d’être plus performant dans son travail.