×

RGPD : qui est le Data Protection Officer  (DPO) ?

Le RGPD donne un rôle central au Data protection officer (DPO) (ou délégué à la protection des données (DPD).  Sa nomination n’est obligatoire que dans certains cas. Toutefois, de plus en plus d’entreprises collectant des donnés se dotent d’un DPO afin d’être conseillées au mieux sur tous les aspects de la protection des données et de la conformité RGPD.

La section 4 du RGPD réglemente la désignation, les fonctions, les missions ainsi que la certification des DPO. 

Qui peut être DPO ? Quelles sont ses missions ? Dans quel cas un DPO doit-il obligatoirement être désigné ?

Quelles sont les missions du délégué à la protection des données ?

La CNIL décrit ainsi le rôle du DPO : “[…] chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme”.

Le DPO est à la fois l’interlocuteur privilégié de la CNIL pour le pilotage de la conformité au RGPD et celui des personnes concernées par le traitement de leur données. L’article 39 du RGPD définit les missions du DPO .

Piloter la conformité

Le DPO est en charge de la démarche de mise en conformité au RGPD.

Il répertorie et cartographie les données personnelles ainsi que les traitements. Le DPO est également chargé de la documentation de la conformité qui a été rendue obligatoire par le RGPD. Celle-ci permet de prouver le respect des obligations par les organismes. Cette documentation obligatoire comprend notamment le registre des traitements de données personnelles, le registre des sous-traitants ou encore le registre des violations de données.

Le DPO identifie les risques pesant sur les données personnelles collectées et exploitées par son organisme. Sur cette base, il liste et priorise les actions à mener pour se mettre en conformité.

Informer et conseiller

Le DPO apporte son expertise sur la conformité des traitements mis en place et sur les bonnes pratiques pour respecter les droits des personnes concernées. Il contribue également à diffuser une culture de la ”protection des données”, par exemple via des communications et/ou en organisant des formations.

Contrôler et auditer

Le Data Protection Officer a également pour mission de contrôler le respect des règles du RGPD.  Ces contrôles sont suivis de plans d’actions initiés par le DPO, à destination des responsables de traitement concernés. Il s’agit toutefois de recommandations que les responsables de traitement sont libres d’appliquer ou non.

Le DPO procède notamment au contrôle de l’application des mesures de protection des données mis en œuvre suite à un contrôle de la CNIL. Il est également chargé de l‘audit de la documentation, particulièrement registre des traitements.

Attention : La responsabilité de la conformité au RGPD n’incombe pas au DPO mais bien au responsable de traitement, avec le sous-traitant le cas échéant. Il n‘a aucun pouvoir de décision.

Quelles entreprises doivent se doter d’un DPO ?

L’article 37 du RGPD rend obligatoire la désignation d’un DPO dans 3 cas. Pour les autres organismes, sa désignation reste facultative, bien que souvent conseillée.

Les 3 situations dans lesquelles la désignation du DPO est obligatoire sont les suivantes :

1. Dans le secteur public  : autorités nationales, régionales et locales, structures de l’enseignement supérieur, hôpitaux, agences sanitaires, autorités administratives indépendantes (AAI), ou encore établissements publics à caractère administratif (EPA). Seules les juridictions dans l’exercice de leurs fonctions juridictionnelles sont exemptées.

2. Dans les organismes réalisant un suivi régulier et systématique des personnes à grande échelle et pour lesquelles le traitement de données personnelles est essentiel pour atteindre ses objectifs. Quelques précisions sur la sémantique :

  • Un suivi régulier s’entend comme : continu ou se produisant à intervalles réguliers au cours d’une période donnée, récurrent ou se répétant à des moments fixes, ayant lieu de manière constante ou périodique ;

  • Systématique : c’est-à-dire que le suivi se produit conformément à un système préétabli, organisé ou méthodique ayant lieu dans le cadre d’un programme général de collecte de données et effectué dans le cadre d’une stratégie ;

  • À “grande échelle” : il faut se référer au considérant 91 du RGPD pour obtenir une précision sur la notion. Il s’agit d’ « un volume considérable de données personnelles au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé ». Il faut un grand volume de données personnelles traitées, de nombreuses personnes concernées et un risque fort pour considérer que le traitement est réalisé à grande échelle. Toutefois, aucun seuil n’étant fixé, l’obligation de nommer un DPO doit être analysée au cas par cas.

3. Dans les organismes traitant de nombreuses données dites « sensibles » ou relatives à des condamnations pénales et infractions.

3- DPO : qui peut exercer cette fonction ?

Le profil du délégué à la protection des données

Pour exercer la fonction de délégué à la protection des données, un certain niveau d’expertise à la fois juridique et informatique est requis. Toutefois, ni le RGPD ni la CNIL ne recommande de profil type ou de formation particulière. La CNIL ne vérifie pas les pré-requis lors de la désignation. Celle-ci doit simplement être notifiée à la CNIL via un formulaire de désignation en ligne : Désigner mon DPO .

Pour être DPO, il n’existe pas de formation obligatoire car il ne s’agit pas d’un métier réglementé. Cependant, pour attester et/ou acquérir les connaissances utiles à la fonction, il est possible d’obtenir la certification DPO CNIL. Pour cela, il faut :

 

      Justifier de 2 ans d’expérience professionnelle dans le domaine de la protection des données personnelles ;

      ou suivre une formation d’au moins 35 heures pour vous présenter à l’examen.

Une étude de la CNIL révèle que les profils des DPO sont variés puisque :

      34,9% des DPO ont un profil informatique,

      34% des DPO sont issus des services administratifs (finance, conformité, audit etc) ;

      31% des DPO ont un profil juridique.

 

Éviter tout risque de conflit d’intérêt

 

Il existe toutefois une obligation à respecter dans le choix du délégué à la protection des données : celui-ci ne doit en aucun cas être placé dans une situation de conflit d’intérêt. Concrètement, il ne peut être à la fois DPO et responsable du traitement.

Si vous choisissez un DPO interne, c’est-à-dire un salarié de l’entreprise, il ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et des moyens de traitements. On le rappelle, le DPO a un devoir de conseil mais de prend pas de décision. Ainsi, il n’est pas possible de désigner DPO un DRH ou un DSI par exemple. En revanche, un juriste RGPD ou un ingénieur en sécurité informatique peuvent occuper les fonctions de DPO.

Vous pouvez choisir un DPO externe, c’est-à-dire une personne qui n’est pas salariée de l’entreprise, par exemple un avocat. Dans ce cas, ce dernier ne pourra pas représenter votre entreprise en cas de litige concernant le RGPD car il y aurait conflit d’intérêt.

Mettre mon site internet en conformité avec la Loi

Maître Benoît Rivain - Avocat spécialiste RGPD

Auteur de contenus

Benoît RIVAIN est avocat au barreau de Nantes depuis 2010. Il a développé très vite une appétence pour les nouvelles technologies et s’est tourné vers le droit informatique et la protection des données qu’il pratique depuis des années.

 

Il est délégué à la protection des données auprès de nombreuses professions libérales (notaires, courtiers en assurance, médecins et paramédicaux…), intervient en entreprise et auprès des collectivités publiques sur les problématiques de collecte des données à caractère personnel, des droits d’auteur et plus généralement en matière de propriété intellectuelle.