Qu’est-ce que le DPO ?

16
Partager :

Le DPO est situé au cœur de la conformité au RGPD et au règlement européen. Il a la fonction d’un délégué responsable de la protection des données et joue un rôle important au sein d’une entreprise exploitant des données à caractère personnel et privé. Pour comprendre l’importance de cette fonction, nous allons faire le point sur ses spécificités. 

Comprendre ce que veut dire le DPO

Pour comprendre ce que veut dire dpo, il faut voir la définition de ce terme. Cet acronyme sert à désigner un Data Protection officer ou une personne en charge de la protection des données exploitées au sein d’un organisme. C’est une nouvelle forme de métier porté par la mise en application du RGPD et du règlement européen concernant la protection des données. La désignation des missions et des fonctions d’un DPO est réglementée au niveau du RGPD. Auparavant, cette fonction a déjà existé de façon marginale dans les entreprises en tant que correspondant informatique et liberté ou CIL

Lire également : Faire appel à un traiteur professionnel pour vos événements d’entreprise

Les différentes missions du DPO

Pour veiller à la conformité du règlement européen et du RGPD, un DPO possède plusieurs missions. Ses fonctions restent les mêmes qu’il soit interne ou externe à un organisme.

Un informateur et un conseiller

La première fonction d’un DPO est de conseiller et informer un organisme concernant l’exploitation des données à caractère personnel. Durant l’exercice de ses fonctions, au sein d’un organisme, il est également amené à accompagner chaque collaborateur dans l’utilisation de data. Il est la personne en charge de la proposition d’une analyse d’impact par rapport à la protection de data et à l’exécution des directives établies pour l’opération d’exploitation.  

A découvrir également : Quelle puissance poêle à granulé pour 100m2 ?

Un contrôleur

Un DPO contrôle le respect du droit national et du règlement concernant la protection de données personnelles. Il s’assure notamment du respect des règlements concernant le traitement et le respect des droits des propriétaires des données à exploiter. Il est également de son ressort de faire en sorte que l’autorité de contrôle locale puisse collaborer avec l’organisme au sein duquel il exerce ses fonctions. En même temps, il reste disponible pour les collaborateurs désirant lui poser des questions concernant la procédure de mise en conformité.  

Un responsable du registre des traitements

Avec l’aide du responsable des traitements et des sous-traitants, le DPO peut aussi prendre en charge la gestion du registre des traitements. Sa fonction est essentielle et recommandée pour aider un organisme à traiter les données personnelles récoltées suivant le règlement applicable. Il accompagne un organisme dans l’installation d’une mise en conformité et dans le maintien de celle-ci. Aussi, il va aider l’organisme dans lequel il travaille à :

  • prioriser les actions à réaliser pour protéger les données suivant les risques afférents et les contextes ;
  • aider un organisme à cartographier les différents traitements réalisés dans le cadre de l’exploitation et du traitement des données personnelles ;
  • documenter la conformité d’un organisme pour démontrer sa conformité en cas de contrôle et d’audit.

Les conditions pour être un DPO

Après avoir défini ce que veut dire DPO, nous allons voir les conditions nécessaires pour exercer cette fonction. Il y a des conditions à remplir. La réalisation de ses différentes missions nécessite des compétences et aptitudes particulières. 

Les compétences requises

Afin d’exercer la fonction de Data Protection officer, il faut avoir plusieurs compétences. Entre autres, il faut :

  • avoir des connaissances approfondies concernant la législation ;
  • avoir des connaissances au sujet des besoins et de l’organisation interne d’un organisme ;
  • avoir une bonne connaissance concernant les données et systèmes d’information utilisés pour les collecter.

Par ailleurs, le DPO doit aussi avoir des compétences en management pour assurer le suivi de ses missions dans le temps. Il doit avoir les moyens nécessaires pour mener à bien sa mission. Par exemple, il doit avoir accès aux informations nécessaires et avoir suffisamment de temps pour l’exécution de ses missions. La plupart des DPO ont une formation juridique. Toutefois, certains ont suivi une formation en informatique et ont un diplôme d’ingénieur dans ce domaine. 

Les aptitudes recommandées

Un DPO agit en toute indépendance. Sa fonction ne doit pas faire l’objet d’un conflit d’intérêt avec une autre fonction dans le cas où il cumule plusieurs fonctions. Qu’il soit indépendant ou lié à un organisme, la réalisation de ses missions ne doit faire l’objet d’aucune instruction hiérarchique. La fonction de DPO le soumet également à une obligation de confidentialité quant à la spécificité de ses missions. Pour exercer de façon légale, sa fonction au sein d’un organisme doit être déclarée auprès d’une autorité de contrôle compétente. Le choix d’un délégué à la protection des données personnel s’effectue également suivant une certaine éthique. Il doit être intègre, car la réussite de sa mission et sa non-ingérence sur le plan personnel dans chaque cas à traiter en dépend.   

DPO : une fonction obligatoire ou non ?

Durant l’ancienne loi de 78, le DPO était une fonction facultative. À l’heure actuelle, il devient obligatoire dans certains cas de figure. Cette fonction ne concerne pas toutes les entreprises. Elle est principalement utile et recommandée auprès des entreprises récoltant et exploitant des données à caractère personnel. Conformément à l’article 37.7 du RGPD, la désignation d’un DPO est indispensable dans 3 cas bien précis :

  • lorsque c’est un organisme ou une autorité publique qui prend en charge le traitement des données à caractère personnel, à l’exception d’une juridiction agissant dans l’exercice de sa fonction juridictionnelle ;
  • lorsque les missions du responsable et des sous-traitants nécessitent un suivi régulier et automatique à grande échelle de toutes les personnes reliées à l’opération ;
  • lorsque les activités principales du responsable du traitement et des sous-traitants nécessitent un traitement à grande échelle de plusieurs catégories d’informations sensibles à l’instar de données biométriques.

En cas d’audit ou de contrôle CNIL, il est judicieux de justifier l’absence d’un DPO au sein de son organisme. Les arguments relatifs à ce choix doivent être déterminants dans le choix de n’avoir désigné aucun DPO. Pour se garantir une conformité au règlement européen et au RGPD, il est conseillé d’avoir un DPO mutualisé avec un autre organisme ou en interne. 

Choisir entre un DPO interne et un DPO externe

Conformément à l’article 37 du RGPD, le DPO peut être un membre à part entière du personnel, du responsable du traitement et des sous-traitants. Le délégué à la protection des données à caractère sensible et personnel peut également effectuer ses missions à travers un contrat de service. Il n’y a aucune contrainte vis-à-vis de la loi concernant la désignation d’un DPO interne ou externe à un organisme. Pour faire le bon choix, il y a quelques références que vous pouvez utiliser afin de prendre la décision qui convient le mieux à votre structure. Premièrement, il faut tenir compte du coût supplémentaire que génère le recrutement d’un DPO. Le coût d’un délégué à la protection des données sensibles et personnelles est particulièrement considérable pour les TPE et les PME. Le recrutement d’un DPO en interne ou en externe dépend donc de la taille de votre organisme. Pour les grandes entreprises, il est recommandé de recruter un DPO ou d’instaurer cette fonction au sein de la structure. La présence de ce professionnel à temps plein joue un rôle important dans la mise en conformité des traitements de données de l’entreprise. L’externalisation de cette fonction est préférable pour une petite structure ou une structure à taille humaine. Face au coût budgétaire de cette opération, un passage ponctuel du DPO au sein d’une petite structure réduit considérablement les charges de l’entreprise. 

Partager :