Le DPO – Data Protection Officer ou Délégué à la Protection des Données est un acteur clé dans la mise en conformité des organismes au RGPD (Règlement Général sur la Protection des Données).
Le DPO est obligatoire pour certains secteurs, notamment le secteur public et le domaine de la santé. Il est souvent recommandé dans beaucoup d’activités comme le webmarketing, les organismes en lien avec les particuliers ou les prestataires informatiques. Dès lors qu’une structure traite et stocke des données personnelles, elle doit s’interroger sur l’obligation ou non de désigner un DPO.
Selon le RGPD, les organismes répondant aux 3 critères suivants ont l’obligation de nommer un DPO :
- Activité de base reposant sur les données: l’organisme peut réaliser ses objectifs en traitant absolument les données personnelles dont elle dispose (comme c’est le cas pour un hôpital qui traite les données médicales de ses patients)
- Traitement à grande échelle: en fonction du nombre de personnes concernées, le volume de données (ou le spectre des catégories de données), la durée de l’activité de traitement et l’étendue géographique de l’activité permettent d’identifier si le traitement répond au critère de « grande échelle »
- Suivi régulier: il faut regarder la fréquence du traitement des données, s’il est récurrent ou marginal.
Qui peut être DPO ?
Dès lors qu’un organisme a l’obligation de nommer un DPO, il faudra s’interroger sur « Qui peut prétendre à être désigner DPO ». La nomination du DPO est précisée dans les articles 37 à 39 du Règlement.
Tout d’abord, c’est un nouveau métier qui nécessite différentes compétences : juridiques, organisationnelles et informatiques. La personne désignée en tant que DPO sera le chef d’orchestre de la mise en conformité RGPD de l’entité, avec les missions suivantes :
- Informer et Conseiller
- Contrôler le respect du RGPD
- Etre un point de contact avec la CNIL
- Encadrer la documentation et les procédures
Ensuite, il faut veiller à désigner en tant que DPO une personne neutre et indépendante, afin de veiller à l’absence de conflit d’intérêt. L’intégrité et l’éthique professionnelle du DPO sont des qualités intrinsèques qui devront caractériser le DPO. Le DPO peut être un membre du personnel ou un prestataire externe.
Comment désigner un DPO ?
Dès lors que l’organisme a choisi son DPO, il convient de s’assurer que le DPO aura à sa disposition les moyens nécessaires pour exercer ses missions, qu’il aura la capacité d’agir en toute indépendance, en plus des compétences requises en expertise juridique, technique et organisationnelle.
La désignation du DPO est faite en ligne, sur le site de la CNIL, à l’aide d’un formulaire à remplir directement depuis le site internet : https://www.cnil.fr/fr/designation-dpo
Depuis ce formulaire en ligne « Désignation DPO », il sera possible de préciser si le DPO est salarié de la structure ou si le DPO est un prestataire externe.