Qu’est-ce que le DPO ?

12 mai 2023

1627

Le DPO est situé au cœur de la conformité au RGPD et au règlement européen. Il a la fonction d’un délégué responsable de la protection des données et joue un rôle important au sein d’une entreprise exploitant des données à caractère personnel et privé. Pour comprendre l’importance de cette fonction, nous allons faire le point sur ses spécificités.

Contents

1 Comprendre ce que veut dire le DPO
2 Les différentes missions du DPO
3 Les conditions pour être un DPO
- 3.1 Les compétences requises
- 3.2 Les aptitudes recommandées
4 DPO : une fonction obligatoire ou non ?
5 Choisir entre un DPO interne et un DPO externe
6 Les compétences clés d’un DPO efficace
7 Les responsabilités juridiques du DPO en cas de non-conformité

Comprendre ce que veut dire le DPO

Pour comprendre ce que veut dire dpo, il faut voir la définition de ce terme. Cet acronyme sert à désigner un Data Protection officer ou une personne en charge de la protection des données exploitées au sein d’un organisme. C’est une nouvelle forme de métier porté par la mise en application du RGPD et du règlement européen concernant la protection des données. La désignation des missions et des fonctions d’un DPO est réglementée au niveau du RGPD. Auparavant, cette fonction a déjà existé de façon marginale dans les entreprises en tant que correspondant informatique et liberté ou CIL.

Les différentes missions du DPO

Pour veiller à la conformité du règlement européen et du RGPD, un DPO possède plusieurs missions. Ses fonctions restent les mêmes qu’il soit interne ou externe à un organisme.

Un informateur et un conseiller

La première fonction d’un DPO est de conseiller et informer un organisme concernant l’exploitation des données à caractère personnel. Durant l’exercice de ses fonctions, au sein d’un organisme, il est également amené à accompagner chaque collaborateur dans l’utilisation de data. Il est la personne en charge de la proposition d’une analyse d’impact par rapport à la protection de data et à l’exécution des directives établies pour l’opération d’exploitation.

A découvrir également : Comment bien choisir sa banque ?

Un contrôleur

Un DPO contrôle le respect du droit national et du règlement concernant la protection de données personnelles. Il s’assure notamment du respect des règlements concernant le traitement et le respect des droits des propriétaires des données à exploiter. Il est également de son ressort de faire en sorte que l’autorité de contrôle locale puisse collaborer avec l’organisme au sein duquel il exerce ses fonctions. En même temps, il reste disponible pour les collaborateurs désirant lui poser des questions concernant la procédure de mise en conformité.

Un responsable du registre des traitements

Avec l’aide du responsable des traitements et des sous-traitants, le DPO peut aussi prendre en charge la gestion du registre des traitements. Sa fonction est essentielle et recommandée pour aider un organisme à traiter les données personnelles récoltées suivant le règlement applicable. Il accompagne un organisme dans l’installation d’une mise en conformité et dans le maintien de celle-ci. Aussi, il va aider l’organisme dans lequel il travaille à :

prioriser les actions à réaliser pour protéger les données suivant les risques afférents et les contextes ;
aider un organisme à cartographier les différents traitements réalisés dans le cadre de l’exploitation et du traitement des données personnelles ;
documenter la conformité d’un organisme pour démontrer sa conformité en cas de contrôle et d’audit.

Les conditions pour être un DPO

Après avoir défini ce que veut dire DPO, nous allons voir les conditions nécessaires pour exercer cette fonction. Il y a des conditions à remplir. La réalisation de ses différentes missions nécessite des compétences et aptitudes particulières.

Les compétences requises

Afin d’exercer la fonction de Data Protection officer, il faut avoir plusieurs compétences. Entre autres, il faut :

avoir des connaissances approfondies concernant la législation ;
avoir des connaissances au sujet des besoins et de l’organisation interne d’un organisme ;
avoir une bonne connaissance concernant les données et systèmes d’information utilisés pour les collecter.

Par ailleurs, le DPO doit aussi avoir des compétences en management pour assurer le suivi de ses missions dans le temps. Il doit avoir les moyens nécessaires pour mener à bien sa mission. Par exemple, il doit avoir accès aux informations nécessaires et avoir suffisamment de temps pour l’exécution de ses missions. La plupart des DPO ont une formation juridique. Toutefois, certains ont suivi une formation en informatique et ont un diplôme d’ingénieur dans ce domaine.

Les aptitudes recommandées

Un DPO agit en toute indépendance. Sa fonction ne doit pas faire l’objet d’un conflit d’intérêt avec une autre fonction dans le cas où il cumule plusieurs fonctions. Qu’il soit indépendant ou lié à un organisme, la réalisation de ses missions ne doit faire l’objet d’aucune instruction hiérarchique. La fonction de DPO le soumet également à une obligation de confidentialité quant à la spécificité de ses missions. Pour exercer de façon légale, sa fonction au sein d’un organisme doit être déclarée auprès d’une autorité de contrôle compétente. Le choix d’un délégué à la protection des données personnel s’effectue également suivant une certaine éthique. Il doit être intègre, car la réussite de sa mission et sa non-ingérence sur le plan personnel dans chaque cas à traiter en dépend.

DPO : une fonction obligatoire ou non ?

Durant l’ancienne loi de 78, le DPO était une fonction facultative. À l’heure actuelle, il devient obligatoire dans certains cas de figure. Cette fonction ne concerne pas toutes les entreprises. Elle est principalement utile et recommandée auprès des entreprises récoltant et exploitant des données à caractère personnel. Conformément à l’article 37.7 du RGPD, la désignation d’un DPO est indispensable dans 3 cas bien précis :

lorsque c’est un organisme ou une autorité publique qui prend en charge le traitement des données à caractère personnel, à l’exception d’une juridiction agissant dans l’exercice de sa fonction juridictionnelle ;
lorsque les missions du responsable et des sous-traitants nécessitent un suivi régulier et automatique à grande échelle de toutes les personnes reliées à l’opération ;
lorsque les activités principales du responsable du traitement et des sous-traitants nécessitent un traitement à grande échelle de plusieurs catégories d’informations sensibles à l’instar de données biométriques.

En cas d’audit ou de contrôle CNIL, il est judicieux de justifier l’absence d’un DPO au sein de son organisme. Les arguments relatifs à ce choix doivent être déterminants dans le choix de n’avoir désigné aucun DPO. Pour se garantir une conformité au règlement européen et au RGPD, il est conseillé d’avoir un DPO mutualisé avec un autre organisme ou en interne.

Choisir entre un DPO interne et un DPO externe

Conformément à l’article 37 du RGPD, le DPO peut être un membre à part entière du personnel, du responsable du traitement et des sous-traitants. Le délégué à la protection des données à caractère sensible et personnel peut également effectuer ses missions à travers un contrat de service. Il n’y a aucune contrainte vis-à-vis de la loi concernant la désignation d’un DPO interne ou externe à un organisme. Pour faire le bon choix, il y a quelques références que vous pouvez utiliser afin de prendre la décision qui convient le mieux à votre structure. Premièrement, il faut tenir compte du coût supplémentaire que génère le recrutement d’un DPO. Le coût d’un délégué à la protection des données sensibles et personnelles est particulièrement considérable pour les TPE et les PME. Le recrutement d’un DPO en interne ou en externe dépend donc de la taille de votre organisme. Pour les grandes entreprises, il est recommandé de recruter un DPO ou d’instaurer cette fonction au sein de la structure. La présence de ce professionnel à temps plein joue un rôle important dans la mise en conformité des traitements de données de l’entreprise. L’externalisation de cette fonction est préférable pour une petite structure ou une structure à taille humaine. Face au coût budgétaire de cette opération, un passage ponctuel du DPO au sein d’une petite structure réduit considérablement les charges de l’entreprise.

Les compétences clés d’un DPO efficace

Un DPO doit être doté de certaines compétences pour remplir les missions qui lui sont confiées. Il doit être capable de maîtriser parfaitement la réglementation relative à la protection des données personnelles et être en mesure d’en assurer une veille constante. Il faut des connaissances solides dans le domaine technique afin de garantir la sécurisation des données traitées par l’entreprise.

Le DPO doit aussi faire preuve de qualités relationnelles et pédagogiques pour assurer une communication fluide avec les différents interlocuteurs internes ou externes (direction générale, responsable informatique, service juridique…) et ainsi instaurer un climat de confiance propice à l’échange autour du traitement des données sensibles.

Un bon DPO est rigoureux et méthodique dans son travail pour s’assurer que toutes les obligations légales relatives au traitement des informations privées soient respectées scrupuleusement par chaque entité concernée. Son rôle central permettra alors d’éviter tout risque juridique lié aux violations éventuelles survenues lors du processus opérationnel quotidien.

Au-delà de ces compétences-clés indispensables à tout expert en protection des données personnelles, on peut noter que certains profils peuvent bénéficier plus particulièrement aux entreprises souhaitant se conformer aux exigences réglementaires européennes : juriste spécialisé(e) en droit informatique ; ingénieur(e) sécurité ; consultant(e) indépendant(e)… Des formations spécifiques sont aujourd’hui proposées pour acquérir les savoirs-faire indispensables au métier de DPO.

Les responsabilités juridiques du DPO en cas de non-conformité

Le rôle central du DPO dans la mise en conformité des entreprises avec le RGPD implique aussi une grande responsabilité. Effectivement, le DPO peut être tenu pour responsable d’une violation de données s’il n’a pas pris les précautions nécessaires pour prévenir cette situation. Si l’entreprise ne respecte pas ses obligations légales en matière de protection des données personnelles, le DPO est censé alerter la direction générale et prendre toutes les mesures utiles pour corriger les défauts constatés.

En cas de non-conformité persistante, il doit saisir directement l’autorité chargée de réguler la protection des données personnelles (CNIL ou équivalent) qui aura alors la possibilité d’infliger une sanction financière à l’entreprise ainsi qu’à son représentant légal. Dans ce contexte, un DPO interne doit bénéficier d’une certaine indépendance vis-à-vis des autres directions opérationnelles afin que sa prise de décision ne soit pas influencée par ces dernières.

Pensez à bien souligner que si le DPO a rempli correctement ses fonctions mais que malgré tout une violation se produit au sein de l’entreprise, il ne sera pas tenu responsable pénalement. Pensez à bien lui donner les moyens nécessaires pour accomplir sa mission, d’afficher clairement son nom et ses coordonnées auprès de l’ensemble du personnel concerné, de lui accorder une véritable indépendance dans l’exercice de ses missions.

La désignation d’un DPO est donc un choix stratégique pour les entreprises souhaitant se conformer aux obligations réglementaires européennes en matière de protection des données personnelles. Ce chef d’orchestre doit être choisi avec soin et bénéficier de toute la confiance nécessaire pour exercer sa mission efficacement. Effectivement, au-delà des risques juridiques encourus par les entreprises qui ne respectent pas ces règles, ce sont aussi leur réputation et leur image qui sont mises en jeu.