RGPD : Le DPO, une mission qui vise à alerter

i-tourisme

Le 25 mai 2018 entre en vigueur le règlement européen sur la protection des données, appelé RGPD. Il vise à protéger toutes les données personnelles stockées par les entreprises, qu’elles soient publiques ou privées. Le délégué à la protection des données (DPO) est au cœur de ce nouveau règlement européen. C’est du moins ce que l’on peut lire sur le site de la CNIL. Mais concrètement qui est le DPO, quelles sont ses missions ? Est-ce un espion officiel au sein même de l’entreprise ?

 

Le DPO, pour Data Protection officer, est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données, au coeur même de l’organisme qui l’a désigné. Son affectation est obligatoire dans certains cas. Un délégué peut être interne ou externe à l’entreprise. Selon le statut, il a la possibilité d’agir sur plusieurs structures.

 

En effet, le DPO est mutualisé s’il est choisi pour plusieurs entreprises sous certaines conditions. Par exemple, lorsqu’un délégué est assigné pour un groupe de PME, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit donc être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

 

Des qualités professionnelles

Selon l’article 37.5 du règlement européen, Le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». À cela s’ajoute également des compétences humaines.

 

Éthique et déontologie

Le plus complexe sera d’avoir une aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Un délégué extérieur à l’entreprise ne doit pas défavoriser une structure au détriment d’un concurrente sous prétexte qu’il a des intérêts dans cette dernière.

 

Par ailleurs, un DPO en interne ne doit pas avoir de conflits d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper de fonctions au sein de l’organisme qui le conduise à déterminer les finalités et les moyens d’un traitement. Il ne peut être juge et parti.

 

Sa place dans l’entreprise

C’est pourquoi un positionnement efficace en interne, avec la capacité de faire directement un rapport au niveau le plus élevé de l’organisme, est primordial. Aussi, il  est important pour lui d’animer un réseau de relais au sein des filiales d’un groupe. Par exemple, une équipe en interne tels que des experts informatiques, des juristes, des experts en communication, des traducteurs, etc…

 

 

Encadré 1 : Les conflits d’intérêtsLa fonction de délégué peut être exercée à temps plein ou à temps partiel. Dans ce dernier cas, celui-ci ne peut occuper d’autres fonctions au sein de l’organisme. L’existence d’un conflit d’intérêts est donc appréciée au cas par cas.

 

Existe-t-il un profil type ?

Un DPO peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés : profil technique à 47%, profil juridique à 19% et profil administratif à 10%.

 

Sa responsabilité

Le délégué n’est pas responsable en cas de non-respect du règlement. Ce dernier établi clairement, que ce soit le responsable du traitement (RT) ou le sous-traitant (ST), qui est tenu de s’assurer de démontrer que la mission est effectuée conformément à ses dispositions. Le respect de la protection des données relève donc de la responsabilité du RT ou du ST.

 

On regarde, mais on ne touche pas !

C’est pour cette raison qu’il n’est pas possible de lui transférer, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant. En effet, cela reviendrait à conférer au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement, ce qui serait constitutif d’un conflit d’intérêts.

 

Protéger le protecteur

Évidemment il agit de manière indépendante et il bénéficie d’une protection suffisante dans l’exercice de ses missions. Le règlement prévoit ainsi que le délégué ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions.

 

 

Encadré 2 : vos missions, si toutefois vous les acceptez :

  • Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés.
  • Contrôler le respect du règlement et du droit national en matière de protection des données.
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution.
  • Coopérer avec l’autorité de contrôle (CNIL) et d’être le point de contact de celle-ci.

 

Abonnez-vous à notre newsletter pour recevoir les dernières infos par E-mail.

Vos réactions

Réagir à l'article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *