Étape n°3 : Le DPO, chef d’orchestre de la protection des données personnelles
Le Délégué à la protection des données (DPD), ou Data protection officer (DPO) en anglais, va remplacer l’actuel CIL (Correspondant informatique et liberté).
Le réglement général sur la protection des données (RGPD) précise les exigences portant sur le délégué s’agissant de ses qualifications et de sa formation continue.
Le DPO est le "chef d’orchestre" de la conformité en matière de protection des données personnelles au sein de son organisme. Il doit :
- informer et conseiller l’organisme l’ayant désigné, et ses employés
- contrôler le respect du règlement et dispositions issues de la loi "Informatique et libertés"
- conseiller l’organisme sur la réalisation d’une analyse d'impact et en vérifier l’exécution
- coopérer avec l’autorité de contrôle (CNIL)
- répondre aux demandes de l’autorité de contrôle ainsi qu’à celles des personnes concernées qui peuvent le saisir pour toute question relative au traitement de leurs données et à l’exercice de leurs droits.
La désignation d’un DPO est obligatoire dans plusieurs cas, et notamment :
- lorsque les activités de base du responsable du traitement l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle
- lorsque les activités de base du responsable du traitement l’amène à traiter à grande échelle des données dites "sensibles" ou relatives à des condamnations pénales et infractions.
En dehors de ces trois cas, la désignation d’un DPO n’est pas obligatoire mais est encouragée. Cela permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.
Le DPO peut être désigné en interne, en externe ou bien encore être mutualisé
Il n’existe pas de profil type, mais le délégué à la protection des données doit être désigné sur la base de ses qualités professionnelles.
Il doit en particulier disposer de connaissances spécialisées en droit ainsi que des pratiques en matière de protection des données.
En pratique il doit pouvoir exercer ses missions en toute indépendance et confidentialité, et sans conflits d’intérêts avec ses autres missions. C’est le cas lorsque la personne effectuerait la mission de DPO à temps partiel.
L’existence d’un conflit d’intérêts est appréciée au cas par cas. A titre d’exemple, certaines fonctions sont susceptibles de donner lieu à un conflit d’intérêt : Directeur général, Directeur des ressources humaines, Directeur des affaires financières, responsable des services informatiques...
D’autres fonctions peuvent être considérées comme ne donnant pas lieu à un conflit d’intérêts : salarié sans délégation de pouvoir ni signature, salarié des services informatiques...
Enfin, le DPO peut être désigné en interne, en externe ou bien encore être mutualisé. Ce qui peut permettre une certaine souplesse dans la mise en conformité.
Le mois prochain, nous parlerons des informations à fournir aux personnes concernées par le traitement ainsi que l’obligation d’obtenir leur consentement.
Où en êtes-vous de votre digitalisation ?