RGPD : Le DPO, une mission qui vise à alerter

 
Le DPO, pour Data Protection officer, est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données, au coeur même de l’organisme qui l’a désigné. Son affectation est obligatoire dans certains cas. Un délégué peut être interne ou externe à l’entreprise. Selon le statut, il a la possibilité d’agir sur plusieurs structures.
 
En effet, le DPO est mutualisé s’il est choisi pour plusieurs entreprises sous certaines conditions. Par exemple, lorsqu’un délégué est assigné pour un groupe de PME, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit donc être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.
 

Des qualités professionnelles

Selon l’article 37.5 du règlement européen, Le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». À cela s’ajoute également des compétences humaines.
 

Éthique et déontologie

Le plus complexe sera d’avoir une aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Un délégué extérieur à l’entreprise ne doit pas défavoriser une structure au détriment d’un concurrente sous prétexte qu’il a des intérêts dans cette dernière.
 
Par ailleurs, un DPO en interne ne doit pas avoir de conflits d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper de fonctions au sein de l’organisme qui le conduise à déterminer les finalités et les moyens d’un traitement. Il ne peut être juge et parti.
 

Sa place dans l’entreprise

C’est pourquoi un positionnement efficace en interne, avec la capacité de faire directement un rapport au niveau le plus élevé de l’organisme, est primordial. Aussi, il  est important pour lui d’animer un réseau de relais au sein des filiales d’un groupe. Par exemple, une équipe en interne tels que des experts informatiques, des juristes, des experts en communication, des traducteurs, etc…
 
 

 

Existe-t-il un profil type ?

Un DPO peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés : profil technique à 47%, profil juridique à 19% et profil administratif à 10%.
 

Sa responsabilité

Le délégué n’est pas responsable en cas de non-respect du règlement. Ce dernier établi clairement, que ce soit le responsable du traitement (RT) ou le sous-traitant (ST), qui est tenu de s’assurer de démontrer que la mission est effectuée conformément à ses dispositions. Le respect de la protection des données relève donc de la responsabilité du RT ou du ST.
 

On regarde, mais on ne touche pas !

C’est pour cette raison qu’il n’est pas possible de lui transférer, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant. En effet, cela reviendrait à conférer au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement, ce qui serait constitutif d’un conflit d’intérêts.
 

Protéger le protecteur

Évidemment il agit de manière indépendante et il bénéficie d’une protection suffisante dans l’exercice de ses missions. Le règlement prévoit ainsi que le délégué ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions.