Choisir un DPO pour son entreprise

Conformité RGPD site Web

Avec le RGPD (Règlement Général pour la Protection des Données), promulgué en 2016 et applicable depuis mai 2018, l’exploitation de données à caractère personnel par un organisme est strictement encadré. Le RGPD impose dans certains cas la désignation d’un DPO (Data Protection Officer, ou Délégué à la Protection des Données).

Ce spécialiste est chargé de faire appliquer, au sein de l’organisme en question, les actions imposées par le règlement en matière de protection d’informations personnelles.

Pourquoi la nomination d'un DPO est-elle nécessaire ?

Selon le Règlement général sur la protection des données (RGPD), la désignation d’un DPO (Délégué à la Protection des Données) est obligatoire dans trois cas précis. Tout d’abord, pour toutes les autorités et organismes publics. Ensuite, pour les entreprises dont l’activité principale consiste à traiter des données sensibles à grande échelle ou à surveiller régulièrement et systématiquement les personnes à grande échelle. Le DPO a pour mission de garantir la mise en conformité de ces traitements aux règles imposées par le RGPD. Sa désignation doit être déclarée à la CNIL et il doit être en mesure de travailler en collaboration avec cette autorité en cas de besoin. Bien que la présence d’un DPO ne garantisse pas une immunité contre les sanctions éventuelles de la CNIL, il peut aider à éviter de telles sanctions en veillant à la mise en conformité avec les exigences du RGPD.

Il est important de noter que si les critères de désignation d’un DPO ne sont pas remplis, il est recommandé de nommer un référent RGPD. Ce dernier peut aider à veiller à la mise en conformité des traitements de données personnelles de l’entreprise ou de l’organisation avec les règles imposées par le RGPD. Bien que sa désignation ne soit pas obligatoire, elle peut être utile pour assurer une conformité maximale aux exigences du RGPD et pour éviter de possibles sanctions de la part de la CNIL.

Conformité RGPD - piliers

Comment choisir un DPO pour son entreprise : interne ou externe ?

Il n’existe pas de qualification formelle pour la fonction de DPO. Cependant, qu’il soit membre du personnel de l’entreprise ou prestataire externe, le DPO doit disposer d’une forte compétence juridique dans le domaine de la protection des données à caractère personnel ainsi que des compétences techniques informatiques (système d’information, sécurité numérique) et d’organisation lui permettant de conseiller et orienter les responsables du traitement de données. Il existe des formations destinées à acquérir une connaissance optimale du RGPD. Enfin, la possibilité d’être certifié sur la base du référentiel CNIL permet de faire reconnaître son expertise.

Le DPO interne à l’entreprise

Lorsque le DPO est désigné parmi le personnel, il présente l’avantage de bien connaître le milieu professionnel dans lequel il évolue. C’est à son employeur de s’assurer de sa compétence et de lui permettre de compléter et entretenir ses savoirs . Le DPO devra en outre pouvoir remplir son rôle en toute indépendance, mais aussi hors de tout conflit d’intérêt et sans interférer avec ses autres missions. C’est pourquoi certaines entreprises, traitant un gros volume de données personnelles et dont le budget le permet, auront tendance à recruter un DPO qui exercera sa fonction à temps plein.

Le DPO externe

Choisir un délégué externe, c’est bénéficier du service d’une personne qui exerce cette activité comme un métier. En tant que spécialiste du sujet de la protection des données, il est parfaitement habilité à accompagner la mise en conformité, souvent très complexe, exigée par le RGPD. Le DPO externe agit dans la complète indépendance que requiert sa mission. Le DPO externe est souvent la solution la moins coûteuse pour l’entreprise. En effet, la mission peut être adaptée en fonction de la taille et des activités de l’organisation.

dpo

Comment le DPO contribue-t-il à l'amélioration des pratiques de l'entreprise ? 

Le DPO remplit avant tout une mission de conseil. Par son expertise juridique liée à la protection des données personnelles et sa connaissance du RGPD, il éclaire son organisme employeur sur toutes les démarches liées à la mise en conformité de ses activités, et sensibilise le personnel sur les devoirs qui lui incombent dans ce domaine. Il peut rédiger également les textes relatifs à la protection des données pour le site web ou les échanges numériques. Il est présent pour informer l’entreprise des risques encourus et de la manière d’y apporter une solution concrète.

Ce qu'il faut retenir pour choisir un DPO pour son entreprise

Choisir un DPO dépendra à la fois du budget disponible et de l’importance des données  traitées. Devant les nouvelles contraintes apportées par le RGPD dans le traitement des informations personnelles, le DPO est d’abord une personne de confiance, et le partenaire privilégié de l’entreprise pour l’aider à se mettre en parfaite conformité avec la loi.

Image de Pierre Bouffay
Pierre Bouffay

Besoin de l'appui d'un expert RGPD & cybersécurité ?