Le délégué à la protection des données

  • Temps de lecture: min

Dans cet article :

En qualité de chef d'orchestre coopérant avec la Commission nationale de l'informatique et des libertés (Cnil), le "Data Protection Officer" (DPO) ou délégué à la protection des données tient un rôle central pour assurer la conformité en matière de protection des données au sein de sociétés publiques ou privées. La principale cause de la création de cette fonction était le non-respect du Règlement général européen sur la protection des données (RGPD). Nous avons fait le point sur son champ d'action ainsi que les différentes situations d'obligation de nomination. 

En résumé

  • Le délégué à la protection des données (DPO) est le référent chargé d'aider une organisation publique ou privée à respecter les règles de protection des données personnelles.
  • Il conseille et accompagne les entreprises sur leurs obligations légales (cartographie des traitements, analyses d'impact, bonnes pratiques, etc.).
  • Il est l'interlocuteur des personnes concernées par les données, en cas de demande ou réclamation.
  • Sa désignation est obligatoire en cas de traitement de données sensibles ou de collecte à grande échelle. 

Quelles sont les actions d'un DPO ?

Pour assurer la conformité au RGPD, le DPO doit effectuer trois types d'actions :

1. S'informer

Rassembler la documentation juridique en matière de données personnelles : le cadre législatif européen (RGPD, ligne directrices du Comité européen à la protection des données, etc.), le cadre national, (loi Informatique et libertés, décrets d'application, jurisprudence de la Cour de cassation, etc.) ainsi que les décisions de la Cnil (recommandations, bonnes pratiques, etc.).

Organiser une veille sur les sujets touchant aux données personnelles (juridique, technique, sociétal, sectoriel, etc.) et à la sécurité des systèmes d'information (Anssi, Clusif, Cnil, etc.).

2. Piloter la conformité

  • Cartographier les différents traitements opérés par la société.
  • Contrôler le respect du RGPD et du droit national en matière de protection des données personnelles, notamment en fonction des différentes finalités des traitements et du respect des droits des personnes concernées.
  • Proposer une analyse d'impact relative à la protection des données et s'assurer de son exécution. Cette dernière aide à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement RGPD.
  • Être l'interlocuteur des personnes concernées par les données ;
  • Assurer une coopération avec la Cnil et être son point de contact.

3. Sensibiliser et impliquer les collaborateurs.

  • Identifier une personne relais pour chaque direction métier ou filiale.
  • Sensibiliser les collaborateurs sur les procédures relatives à la protection des données au sein de la structure (politique de l'entreprise en matière de traitement des données, charte d’utilisation des ressources informatiques, procédure de gestion des droits des violations de données, etc.).
  • Identifier les publics cibles en interne et les besoins en fonction des services pour créer des actions de sensibilisation spécifiques.

Quand doit-on nommer un DPO ?

Fortement recommandé par la Cnil, la désignation d'un DPO est obligatoire lorsque l'un des trois critères suivants est rempli : 

  • Lorsqu'il s'agit d'un organisme public qui effectue la collecte (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle).
  • Lorsque les activités principales - du responsable de traitement comme du sous-traitant - impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement. Exemples : activité de vidéosurveillance, géolocalisation, traitement des échanges bancaires, traitement recouvrant un nombre conséquent de personnes concernées.
  • Lorsque les activités principales du responsable de traitement comme du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométriques) ou encore de données personnelles relatives à des condamnations pénales et des infractions. Exemple : laboratoire de santé.
Les sous-traitants sont légalement concernés par la désignation d'un DPO. Le fait de traiter des données personnelles pour le compte d'un responsable de traitement n'exonère en rien de l'obligation de désigner un DPO.

Savez-vous comment assurer votre conformité RGPD en 6 étapes

Publié en

Sommaire :

Outils les plus utilisés
On vous recommande aussi

Créez votre Pass Créa

La boite à outils qui vous aide à construire votre projet de création ou de reprise d'entreprise de A à Z.

Je crée Mon Pass Créa
Créer Mon Pass Créa

La boîte à outils qui vous aide à construire votre projet de création ou de reprise d'entreprise de A à Z