Retrouvez sur madeincourtage.fr le glossaire #RGPD, réalisé par François GUERARD !
Son rôle est crucial dans la démarche de mise en conformité au RGPD et pour garantir ensuite que la structure a sein de laquelle il intervient reste conforme au règlement. C’est donc une mission qui s’inscrit dans le temps.
Mais qu’est ce qu’un DPO, quelles sont ses missions, ses responsabilités ?
Présentation :
Le Délégué à la protection des données (DPO) ou Data Protection Officer en anglais (DPO) est une évolution du Correspondant à la protection des données à caractère personnel défini dans le titre III (articles 42 à 55) du décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, plus connu sous l’appellation de Correspondant Informatique et Libertés (CIL).
Cette fonction de DPO est définie dans le Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97 et par sa section 4. L’article 37 traite de la désignation du délégué à la protection des données, l’article 38 décrit ses fonctions et l’article 39 liste ses missions.
À partir du 25 mai 2018, les Délégués à la protection des données sont formellement désignés par les responsables de traitement auprès des autorités de contrôle (la CNIL en France), soit obligatoirement soit volontairement.
Missions, activités et tâches
La mission principale d’un DPO est de faire en sorte que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. La fonction de Délégué à la protection des données est un élément clé de co-régulation, par la pratique.
Cet objectif est atteint au travers des missions suivantes :
- Informer et sensibiliser, diffuser une culture « Informatique et Libertés »
- Veiller au respect du cadre légal
- Informer et responsabiliser, alerter si besoin, son responsable de traitement
- Analyser, investiguer, auditer, contrôler
- Établir et maintenir une documentation au titre de « l’Accountability »
- Assurer la médiation avec les personnes concernées
- Présenter un rapport annuel à son responsable de traitement
- Interagir avec l’autorité de contrôle
Le délégué à la protection des données peut exécuter d’autres missions et tâches. Dans ce cas, le responsable du traitement veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. Ceci exclu que le DPO soit amené d’une quelconque façon à effectuer des traitements de données personnelles.
Le positionnement du DPO dans l’organisme est un facteur crucial de son efficacité et de la portée de ses actions.
Le DPO n’endosse pas la responsabilité juridique qui pèse sur le responsable de traitement concernant la conformité.
Le Délégué à la protection des données est tenu au secret professionnel.
Sous réserve des cas prévus ou autorisés par la loi, le DPO respecte une stricte confidentialité des informations, procédures, usages, plaintes et litiges dont il a connaissance dans le cadre de son activité.
Le DPO doit également être un « communicant », pour convaincre plutôt que contraindre.
A retenir :
La notion de conflit d’intérêts rend très difficile voire impossible la désignation d’un DPO interne, pour la plupart des structures. Véritable chef d’orchestre le DPO a un positionnement vertical dans la hiérarchie et est directement et uniquement rattaché au responsable des traitements (PDG par exemple).
Il est dès lors possible de faire appel à un DPO externe qui devra s’engager au respect de la charte de déontologie du DPO éditée par l’AFCDP.
Une fois le DPO nommé et enregistré sur le site de la CNIL, le responsable des traitements écrira une lettre de mission qui sera diffusée à l’ensemble des personnels de l’entreprise, cadres et non cadres.
Fuyez les sociétés qui vous propose des missions ponctuelles de DPO ou des offres opaques !
Glossaire réalisé par François GUERARD, contributeur au blog madeincourtage.fr et dont vous pouvez retrouver l’article “RGPD, tous concernés” ici !
