Le délégué à la protection des données

Dans cet article :

En qualité de chef d'orchestre par la CNIL, le "Data Protection Officer" (DPO) tient un rôle central pour assurer la conformité en matière de protection des données au sein de sociétés publiques ou privées. La fonction est législativement encadrée par le Règlement Général sur la Protection des Données (RGPD). Nous avons fait le point sur son champ d'action ainsi que les différentes situations d'obligation de nomination. 

Quelles sont les actions d'un DPO ?

Pour assurer la conformité au RGPD, le DPO doit effectuer trois types d'actions :

1. S'informer

Rassembler la documentation juridique en matière de données personnelles : le cadre législatif européen, ligne directrices du Comité Européen à la Protection des Données, etc.), le cadre national, (loi Informatique et Libertés, décret d'application, etc.). ainsi que les décisions de la CNIL (recommandations, bonnes pratiques, etc.).

Organiser une veille sur les sujets touchant aux données personnelles (juridique, technique, sociétal, sectoriel, etc.) et à la sécurité des systèmes d'information (ANSSI, CLUSIF, CNIL, etc.).

2. Piloter la conformité

  • Cartographier les différents traitements opérés par la société.
  • Contrôler le respect du RGPD et du droit national en matière de protection des données personnelles, notamment en fonction des différentes finalités des traitements et du respect des droits des personnes concernées.
  • Proposer à son organisme une analyse d'impact relative à la protection des données et s'assurer de son exécution. Cette dernière aide à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement RGPD.
  • Assurer une coopération avec la CNIL et être son point de contact.

3. Sensibiliser et structurer les collaborateurs.

  • Identifier une personne relais pour chaque direction métier ou filiale.
  • Sensibiliser les collaborateurs sur les procédures relatives à la protection des données au sein de la structure (politique, charte d’utilisation des ressources informatiques, procédure de gestion des droits des violations de données).
  • Identifier les publics cibles en interne et les besoins en fonction des services pour créer des actions de sensibilisation spécifiques.

Quand doit-on nommer un DPO ?

Fortement recommandé par la CNIL, la désignation d'un DPO est devnue obligatoire lorsque l'un des trois critères suivants est rempli : 

  • Lorsqu'il s'agit d'un organisme public qui effectue la collecte (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle). 
  • Lorsque les activités principale - du responsable de traitement comme du sous-traitant - impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement. Exemple : activité de vidéosurveillance, géolocalisation, traitement des échanges bancaires, traitement recouvrant un nombre recouvrant un nombre conséquent de personnes concernées.
  • Lorsque les activités principales du responsable de traitement comme du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométriques) ou encore de données personnelles relatives à des condamnation pénales et des infractions. Exemple : laboratoire de santé.
Les sous-traitants sont légalement concernés par la désignation d'un DPO. Le fait de traiter des données personnelles pour le compte d'un responsable de traitement n'exonère en rien de l'obligation de désigner 
un DPO.

Enfin, la CNIL a proposé un référentiel relatif à la certification des DPO. Elle est facultative et consiste en un examen de compétences délivré pour trois ans.

Savez-vous comment assurer votre conformité RGPD en 7 étapes

 

 

Créez votre Pass Créa
La boite à outils qui va vous aider à construire votre projet de création d'entreprise de A à Z.