Critères pour choisir son Data Protection Officer
Suite à l’entrée en vigueur le 25 mai dernier du RGPD (Règlement Général Européen sur la Protection des Données), la première étape pour vous mettre rapidement en conformité est de : Désigner, Former et Installer un Délégué à la Protection des Données (DPO) au sein de votre entreprise.
DPO – Que se cache-t-il derrière cet acronyme bien mystérieux ?
DPO : Data Protection Officer ou Délégué à la Protection des Données.
C’est l’un des acteurs clés dans la mise en place et le suivi de votre projet de mise en conformité au RGPD.
Qui peut être nommé au rôle de DPO ?
Le DPO peut être désigné parmi l’un de vos employés. Mais vous pouvez également choisir d’externaliser ce rôle clé en faisant appel à une personne extérieure à votre structure. Des sites spécialisés comme RGPD Express vous mettront en relation avec un expert dédié à votre entreprise. Le délégué à la protection des données peut aussi être mutualisé c’est-à-dire être nommé par un groupe d’organismes sous certaines conditions. Notamment, le DPO doit être facilement joignable à partir de chaque structure.
Dans tous les cas, vous devez avant toute chose vérifiez que votre DPO réunit les 3 conditions suivantes déterminées par la CNIL :
Votre DPO a les compétences requises pour exercer son rôle : à la fois juridique et technique en ce qui concerne la protection des données personnelles.
Votre DPO a à sa disposition des moyens suffisants. Comme avoir accès à l’ensemble des informations utiles se rapportant au traitement de données réalisées par votre entreprise.
Votre DPO peut agir en toute indépendance. Notamment, il ne faut pas qu’il existe de conflits d’intérêts avec la fonction qu’il occupe au sein de votre société.
Quels moyens devez-vous mettre à disposition de votre DPO ?
Afin que votre DPO puisse remplir efficacement sa mission, vous devrez vous assurer de lui fournir les ressources nécessaires telles que des formations, du temps, un budget, un outil adéquat pour mettre en place et suivre la mise en conformité au RGPD, une équipe…
Quelles sont les missions principales d’un DPO ?
« Chef de projet » de votre mise en conformité au RGPD, le DPO est principalement chargé :
- d’informer et de conseiller le responsable du traitement ou le(s) sous-traitant(s) des bonnes pratiques et des mesures indispensables à mettre en place pour être « RGPD compliant ».
- de mettre en place par exemple des campagnes de sensibilisation pour les employés de votre entreprise qui traitent des données à caractère personnel
- de contrôler le respect de la réglementation RGPD et du droit en matière de protection des données. Notamment par exemple de s’assurer que le droit d’information, d’accès, de rectification, d’oubli, d’opposition aux personnes dont les données sont utilisées au sein de votre entreprise soient bien respectés
- de coopérer avec l’autorité de contrôle soit la CNIL et être son point de contact au sein de votre entreprise
- de piloter le projet d’analyse d’impact – cette analyse va permettre à votre entreprise de mettre en place un processus de traitement respectueux des données personnelles et de prouver votre conformité au RGPD
Quelle responsabilité entraîne le rôle de DPO ?
Le DPO n’est pas responsable en cas de non-respect de votre entreprise vis-à-vis de la réglementation RGPD. Seuls les responsables de traitement soit votre société et vos sous-traitants ont la responsabilité du respect de la protection des données.
De plus, le DPO ne peut être sanctionné par votre entreprise pour des motifs liés à son activité de délégué à la protection des données.
À retenir
Le DPO a pour rôle de piloter le projet de mise en conformité au RGPD au sein de l’entreprise qui l’a nommé. Il doit s’assurer qu’un traitement respectueux des données personnelles y est mis en place.
Le DPO peut être désigné au sein de l’entreprise elle-même ou elle peut faire appel à un délégué externe.
Pour que le DPO puisse mener à bien ses missions, l’entreprise doit s’assurer qu’il dispose de connaissances spécifiques et des moyens nécessaires.
