C’est le Règlement Général sur la Protection des Données (RGPD) qui a instauré le DPO, aussi nommé “Data Protection Officer” ou “délégué à la protection des données” en Français. En effet, depuis son instauration, certaines sociétés ne sont pas dans l’obligation de désigner un DPO pour être conforme au règlement. Toutefois, même si la nomination n’est pas obligatoire, désigner un DPO peut toujours être utile. Bien évidemment, il permet de mieux appréhender les risques liés au traitement des données personnelles.
DPO RGPD : c’est quoi ?
Le DPO RGPD est une personne qui a comme responsabilité de veiller au respect de la protection de la vie privée et à la conformité avec le règlement RGPD (la nouvelle réglementation sur la protection des données personnelles). Il se distingue du Correspondant Informatique et Libertés (CIL), installé par la loi Informatique et Libertés.
Toutefois, il ne faut jamais confondre la mission de “DPO” RGPD, avec un « pilote » RGPD. Dans une organisation, une personne peut avoir comme responsabilité de respecter le RGPD, sans même être DPO. Quant au DPO RGPD, il est désigné par une procédure particulière prévue par le RGPD, ce qui implique des missions particulières.
Cela peut être l’analyse de la conformité du règlement, conseiller sur l’analyse d’impact relative à la protection des données et contrôler son exécution.
Quelles sont les différences entre le CIL et le DPO ?
Avant l’instauration du RGPD, les organismes avaient la possibilité de désigner un Correspondant Informatique et Liberté. Or, cette nomination était absolument facultative. Le DPO est donc apparu comme le successeur du CIL.
Certes, leurs statuts semblent similaires parce qu’ils ont tous les deux le rôle de veiller au respect du droit sur le traitement des données personnelles. Cependant, le RGPD nécessite de grandes exigences à l’encontre du DPO.
Qui est concerné par le RGPD ?
Il y a 2 types de personnes concernées par le RGPD. Les personnes physiques, qui jouissent de certains droits pour le RGPD et les personnes morales, qui ont certains devoirs. Il existe 3 qualifications juridiques que présente le RGPD : le responsable du traitement, le sous-traitant et les responsables conjoints de traitement.
Quelles sont les missions du DPO RGPD ?
Le RGPD attribue plusieurs missions au DPO :
- Informer et conseiller sur les obligations relatives au RPDG ;
- Contrôler le respect du RGPD, assurer la sensibilisation et la formation du personnel participant aux opérations pour traiter les données et mener les audits RGPD ;
- Donner des conseils relatifs à la PIA ;
- Coopérer avec la CNIL (notamment en cas de contrôle) ;
- Faire office de point de contact dans l’organisation pour toutes questions concernant le RGPD.Sachez que le DPO n’est particulièrement pas responsable en cas de non-conformité de son organisme avec la mise en place du règlement.
Pourquoi embaucher un DPO ?
Il est vraiment important d’avoir une personne dans l’organisation qui soit formée et qui se charge de veiller au respect des obligations imposées par le RGPD ; que ce soit un DPO (interne et externe) à la suite d’une désignation d’un délégué ou seulement d’une personne formée sur le RGPD afin d’assurer que l’organisation respecte bien la réglementation liée à la protection des données personnelles. Vous pouvez visiter ce site pour en savoir plus sur le DPO RGPD.
Récemment, la CNIL a infligé une sanction à une entreprise de 500.000€ d’amende pour le non-respect du RGPD. Rappelez-vous donc que le RGPD impose de nouvelles obligations aux entreprises qui réalisent des traitements de données personnelles. Les nouvelles obligations sur les violations de données sont prévues par les articles 33 et 34 du RGPD.
Elles mentionnent l’obligation générale de sécurité que les organismes qui ont pour travail de traiter les données à caractère personnel doivent respecter. Le non-respect de ces obligations peut entraîner des amendes lourdes et de plus en plus fréquentes. Dans ce cas, il est impossible de faire l’impasse sur cette réglementation.
Quelles sont les compétences nécessaires que le DPO RGPD doit avoir ?
Les DPO doivent être désignés sur la base de leurs qualités professionnelles et particulièrement sur :
- Leurs connaissances particulières en droit et liberté de la conservation des données personnelles
- Leur capacité à effectuer leurs missions.
Il est donc indispensable qu’ils suivent une formation spécifique sur le règlement européen afin d’appréhender leurs fonctions.
Comment nommer un DPO RGPD ?
Si l’organisation veut nommer un DPO au sens du RGPD, celui-ci devra être désigné directement auprès de l’autorité nationale de contrôle – en France la CNIL. Par contre, si l’organisation veut seulement avoir une personne qui s’occupe de ces problématiques, il n’y aura aucune procédure spécifique nécessaire, à part s’assurer que ses missions font partie de la fiche de poste de l’employé ou d’avoir un contrat de service avec le prestataire choisi.