Dans le cadre de la mise en conformité d’une entreprise en matière de traitement des données personnelles, une société pourra faire face à de nombreuses problématiques et changements dans ses process de fonctionnement pour se mettre en conformité.
Ces obligations – pour respecter le Règlement Général de protection des données personnelles (RGPD) – peuvent s’avérer fastidieuses, complexes et, pour beaucoup, difficiles à mettre en place. Par où commencer ? Comment s’assurer que ce que je fais est conforme à la loi ? Quelles sont les obligations à ma charge ?
Dans ce process de modification, plusieurs acteurs peuvent vous accompagner afin de guider votre mise en conformité. Cabinets de conseils, auditeurs, cabinets d’avocats, nombreux sont les prestataires qui ont acquis une spécialité dans l’accompagnement de leurs clients sur leur mise en conformité en matière de traitement des données personnelles.
Et parmi eux, un acteur a été institutionnalisé par le RGPD : le Délégué à la Protection des Données (DPD ou « DPO » en anglais pour « Data Police Officer »).
Pour autant, la nomination d’un DPO est-elle obligatoire pour toutes les entreprises ?
Quel est le rôle d’un DPO ?
Dans cet article, nous aborderons le rôle du Délégué à la Protection des Données et nous vous aiderons à déterminer si sa nomination est obligatoire pour votre entité.
Un délégué à la protection des données : qu’est-ce que c’est ?
Le DPD (DPO) est une fonction créée directement par le Règlement Général de Protection des Données pour qualifier l’acteur (interne ou externe à l’entreprise) qui veille au respect du cadre légal concernant la protection des données au sein d’une organisation.
Il accompagne et assiste le(s) responsable(s) des traitements de données personnelles mis en œuvre par l’entreprise et est associé à la mise en place de tout nouveau traitement ou toute modification d’un traitement en cours.
Il peut, s’il est sollicité, donner son avis ou faire des recommandations sur un sujet précis en lien avec le traitement des données personnelles.
Quelles sont les missions du DPD ?
Elles sont précises, nombreuses et définies à l’article 39 du RGPD, reproduit ci-après :
Informer et conseiller l’entreprise
Le DPO doit « informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur leurs obligations qui leur incombent (…) ».
Il a donc un rôle de support et de conseil pour accompagner l’employeur – ou le responsable de traitement – sur toutes les décisions prises en matière de traitement des données personnelles.
Il peut également mener des actions de sensibilisation du personnel (séances d’information, mise en place d’une culture informatique, élaboration de guides pratiques, etc.).
C’est grâce à la collaboration avec le DPO que l’organisme va pouvoir adopter des mesures techniques et organisationnelles qui garantiront le respect de la réglementation applicable.
Attention ! Le rôle de DPO est souvent confondu avec le rôle de responsable de traitement ! Or le rôle du DPO n’est pas de prendre des décisions sur le traitement des données personnelles ou de définir les finalités des traitements ou de choisir quelles données seront collectées et traitées.
Ceci incombe au responsable de traitement, qui est, comme son nom l’indique, au sein de l’entité, le responsable de la conformité RGPD et définit les moyens et les finalités d’un traitement.
Le DPO, lui, va accompagner le responsable de traitement, le conseiller, se prononcer sur l’utilité d’une mesure (ex : la nécessité d’un DPIA), participer à l’élaboration de règles internes, identifier les failles en matière de protection des données, etc.
Le DPO n’a pas de rôle opérationnel, c’est le rôle du responsable de traitement. Le périmètre de ses missions est potentiellement très large, notamment pour le suivi de la mise en conformité. Pour autant, le rôle du DPO ne saurait être celui du responsable de traitement.
D’ailleurs, il ne peut en aucun cas être responsable au titre des traitements mis en œuvre comme l’a rappelé régulièrement la CNIL.
Pour résumer, le DPO sensibilise et accompagne l’entreprise en veillant à adopter une « culture » de protection des données personnelles respectueuse des droits des personnes.
Contrôler la conformité de l’entreprise
Le DPO doit « contrôler le respect du présent règlement (…) en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement (…) ».
À la lecture de ces dispositions, on comprend que le DPO a un rôle de contrôle du respect du RGPD. C’est lui qui mène les audits (ou prend le relais avec les organismes de contrôle), il mène des contrôles opérationnels, vérifie les informations contenues dans le registre de traitement, vérifie la conformité des traitements sensibles (s’il en existe).
Il peut également mettre en place des outils de suivi et de contrôle de l’utilisation des traitements et contrôler régulièrement l’effectivité des mesures techniques et organisationnelles mises en place par la société pour traiter et protéger les données personnelles des salariés.
Il doit en outre « dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ».
En effet, la question de mener une analyse d’impact (DPIA) se pose lorsqu’une société traite de données à grande échelle ou des données particulièrement sensibles.
Le rôle du DPO sera donc de s’assurer de la pertinence de mener une analyse d’impact (DPIA) et si cette dernière est mise en œuvre (elle peut être menée ou contrôlée par le DPO), contrôler son efficacité.
Être le point de contact de l’organisme sur les sujets RGPD
Le DPO doit « coopérer avec l’autorité de contrôle » et « faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement ».
Il peut arriver qu’un organisme subisse un contrôle – notamment à la suite d’une plainte – des autorités judiciaires ou administratives compétentes ou encore de la CNIL (Commission Nationale Informatique et Libertés). Le DPO devra donc coopérer avec ces autorités de contrôle et faciliter les échanges.
Attention ! En cas de manquement de l’organisme à une obligation au titre du RGPD ou de toute autre loi applicable, la responsabilité du DPO ne saurait être engagée.
C’est la société qui est elle-même responsable du respect de la loi. Et si les recommandations du DPO ne sont pas suivies, la société et le responsable de traitement seront seuls responsables.
Le DPO pourra également consulter la CNIL s’il a des questions sur un traitement ou sur la protection des données personnelles.
A lire également :
- RGPD & Onboarding, quelles données pouvez-vous collecter ?
- RGPD & Recrutement : que faire des données personnelles des candidats non-retenus ?
- Mise en place de système de vidéosurveillance au sein d’une entreprise : conditions, démarche, obligations, tout savoir !
Suis-je obligé de nommer un DPO ?
Les critères de nomination
La désignation d’un DPO n’est obligatoire que sous les conditions suivantes :
- Quand le traitement est effectué par une autorité publique ou un organisme public (université, collectivité locale…).
Si vous êtes un organisme privé chargé d’une mission de service public, vous n’êtes pas concerné par cette caractéristique. Cependant, la désignation d’un DPO est vivement encouragée par la CNIL.
- Quand les activités de base du responsable de traitement ou du sous-traitant consistent en des traitements exigeant un suivi régulier et systématique à grande échelle des personnes concernées.
L’activité de base désigne le cœur de métier de votre organisme. Quant à l’échelle, il faut l’entendre par « un volume considérable de données personnelles qui peuvent affecter un nombre important de personnes concernées et susceptibles d’engendrer un risque élevé » (considérant l’article 91 RGPD). Le seuil n’est pas défini légalement. Il doit être analysé au cas par cas, en prenant en compte le risque représenté par le traitement.
8 fiches pour développer le potentiel de vos entretiens
L’entretien annuel peut devenir un moment clé pour l’engagement et la formation des équipes. Pour révéler tout son potentiel, notre partenaire Lucca a élaboré un guide avec des conseils pratiques pour impliquer les collaborateurs lors de préparation, identifier des besoins de formation et favoriser la montée en compétences.
Je télécharge les 8 fiches- Dans le cas du traitement à grande échelle de données relatives à des condamnations pénales et à des infractions.
Néanmoins, un DPO peut aussi être nommé en dehors de ces hypothèses, car le RGPD ne fixe pas une liste limitative.
Comment choisir mon DPO ?
Que vous soyez obligé de nommer un DPO (car vous rentrez dans les critères précités) ou que vous faites le choix d’en nommer un volontairement (ce qui est une idée pertinente pour assurer une conformité optimale en matière de traitement des données personnelles et faire appel ainsi à un professionnel qualifié), vous pouvez suivre les conseils suivants.
Choisissez quelqu’un dont les compétences ont été avérées en matière de traitement des données personnelles et de protection des données.
Les formations pour être DPO sont nombreuses, mais privilégiez un organisme ayant soit une spécialité en la matière (ex : un cabinet d’avocats spécialisé en droit des données personnelles), ainsi qu’une expertise juridique et technique, ou un professionnel ayant reçu une certification (à ce titre, la CNIL publie régulièrement sur son site la liste des organismes habilités à délivrer des certifications).
La certification n’est pas obligatoire pour être DPO, mais elle est souvent signe de qualité et de diligence.
En outre, nommer un DPO ne suffit pas. Il faut lui attribuer les moyens lui permettant d’exécuter ses missions. Il doit donc disposer du temps suffisant pour exercer ses missions (n’attribuez pas ce rôle à un salarié déjà surchargé ou ne choisissez pas un cabinet d’audit qui a déjà bien trop de clients), bénéficier de moyens matériels et humains adéquats (si vous êtes une entité conséquente, pensez à attribuer du personnel à votre DPO pour l’aider dans sa mission), qu’il puisse accéder aux informations utiles (fournissez-lui un accès votre documentation, à vos ressources) et puisse être facilement contacté.
Enfin, garantissez, à toutes épreuves, l’indépendance de votre DPO. En effet, votre DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de sa mission, il mène seul ses missions et en toute indépendance. Il ne doit pas être en situation de conflit d’intérêt (s’il cumule sa fonction de DPO avec une autre fonction) et ne peut pas être sanctionné pour l’exercice de ses missions de DPO.
La désignation auprès de la CNIL
Une dernière étape essentielle, consiste en la désignation officielle de votre DPO auprès de la CNIL.
Pour cela, rendez-vous sur le site :
www.designations.cnil.fr/dpo/designation/organisme.designant.delegue.action et remplissez le formulaire de désignation de votre DPO. Vous devrez fournir :
- Les coordonnées de l’organisme effectuant la déclaration.
- Les coordonnées de votre DPO.
- Les coordonnées publiques.
A lire également :
- Comment rédiger une clause RGPD dans un contrat de travail ?
- RGPD & Paie des salariés : Quelles obligations à la charge des services RH ?
- RGPD & RH : quelles sanctions en cas de non-respect des dispositions légales ?