BLOG AIDE
    S'inscrire ou Se connecter

    Data Protection Officer (DPO) : quelles sont ses responsabilités ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    Avec la mise en place du RGPD (Règlement général sur la protection des données), les entreprises doivent porter une attention particulière aux données collectées, à leur traitement et à leur protection. Globalement, l’idée du RGPD est que seules les données strictement nécessaires à la poursuite des objectifs de l’entreprise soient collectées dans un cadre sécurisé. A propos de ce dernier point, l’entreprise doit donc prendre des mesures pour la protection des données en établissant notamment une cartographie des traitements et en établissant et maintenant une documentation spécifique. La loi implique même que dans certains cas, dans l’entreprise, une personne spécifique soit responsable de tout ceci le DPO pour Data Protection Officer (Délégué à la Protection des Données).

    Le RGPD expliqué en deux minutes

     

    Dans quels cas faut-il un DPO (Data protection officer) ?

    L'article 37 du RGPD indique que les sociétés ou administrations doivent avoir un DPO quand :

    1. le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
    2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
    3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 (du RGPD) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 (du RGPD).

     

    Facilitez la transition de votre entreprise au RGPD Je découvre  l'accompagnement RGPD

     

    Concrètement, ceci veut dire qu’une administration, autorité ou un organisme public doit avoir un DPO (sauf si la fonction de l’entité est de gérer des données).

    Et en ce qui concerne les sociétés, dès lors qu’une partie importante de leur activité est relative à un traitement de données, alors l’existence d’un DPO est obligatoire.

    La limite à partir de laquelle, un DPO est nécessaire n’est pas clairement définie dans les textes légaux. La loi considère qu’un DPO doit être nommé quand il y a un suivi important traitement à grande échelle » n’est pas explicité), régulier et systématique des données, d’autant plus que celles-ci sont sensibles.

    Si l’on considère la logique du RGPD dans son ensemble, il va de soi qu’il est nécessaire dans quasiment chaque entreprise qu’une personne soit responsable de son application, sans être forcément « DPO » si le traitement de données n’est pas une activité majeure de la société.

    A noter qu’un groupe d’entreprises peut avoir un DPO commun (sous réserve qu’il soit accessible à tous les membres du groupement d’entreprise).

    Le rôle d'un Data Protection Officer (DPO)

    Qui peut être DPO ?

    Le Délégué à la Protection des Données peut être un salarié ou un prestataire de service. Il devra posséder les connaissances adéquates en droit et en pratique, concernant la protection des données. Il peut être DPO à temps partiel ou à temps complet.

    Rien n’est précisé non plus dans la loi au sujet d’éventuelles qualifications et formations d’un DPO, ni même sur la durée de ses fonctions. Ceci dit, de nombreuses formations existent d’ores et déjà.

    Fonctions et missions du Data protection officer (DPO)

    En premier lieu, il est essentiel de comprendre qu’un DPO doit avoir accès à toutes les informations concernant le traitement des données de l’entreprise ou des entreprises ou organismes dont il est responsable dans cette fonction.

    Même si le DPO est soumis à une obligation de confidentialité, il est évident que sa responsabilité peut créer des conflits d’intérêts dans l’entreprise car son rôle est éminemment transversal, avec un regard nécessaire sur plusieurs fonctions de l’entreprise (direction générale, marketing, développement ou encore RH car le DPO est aussi concerné par le traitement des données des employés de la société) et le devoir d’alerter quand une pratique n’est pas conforme au RGPD.

    Le DPO ne peut être pénalisé ou relevé de ses fonctions par les responsables des traitements des données. En ce qui concerne sa mission, le DPO en a essentiellement 3 :

    En premier lieu, le DPO informe et conseille la direction, les responsables de traitement de données, les sous-traitants et employés sur leurs obligations et droits en ce qui concerne les données.

    Ensuite, il contrôle l’application du RGPD et des droits des personnes concernées par le traitement des données (par exemple au sujet de la possibilité de modification/suppression des données d’une personne le souhaitant).

    Par ailleurs, il est l’interlocuteur de l’entreprise par rapport aux autorités chargées de contrôler l’application du RGPD (CNIL principalement).

    NB : La loi « Informatique et Libertés » de 1978 donnait la possibilité de nomination d’un Correspondant informatique et libertés (CIL). Il existerait actuellement 5000 CIL. Quand il existe, il semble naturel qu’il devienne DPO en élargissant son champ d’action.

    Responsabilités du DPO

    Comme il est écrit ci-dessus, le DPO a un rôle de conseil transversal, de coordination dans l’entreprise et de représentant, au sujet du RGPD, de cette dernière par rapport aux autorités.
    Mais le DPO n’est pas responsable de la conformité de la société ou de l’organisme au RGPD.

    Le ou les responsable(s) de traitement des données (ou sous-traitants) sont responsables de leurs actes (et les concepteurs du RGPD insistent sur l’importance de documenter toute décision ayant conduit au non-respect d’une disposition du RGPD).

    En résumé, avoir un DPO est obligatoire quand le traitement des données est une activité centrale de l’entreprise. C’est un rôle de coordination entre les différents services de la société, ses clients et la CNIL, afin de vérifier que le RGPD est respecté. Etre DPO nécessite de bonnes connaissances juridiques et techniques dans les divers aspects du traitement des données.

    Au-delà du texte officiel relatif au RGPD et des décrets de son application en France, il est probable que verront le jour des précisions notamment sur le champ d’action, la possibilité de mutualisation des DPO.

     

    Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne

    Donnez votre avis
      ARTICLES SIMILAIRES
      RGPD 4

      protection des données personnelles

      RGPD : qui est concerné ?

      rgpd_questionnaire

      protection des données personnelles

      RGPD : évaluez en 20 questions la conformité de votre entreprise

      Données_Personnelles_DPO

      protection des données personnelles

      Délégué à la protection des données (DPO) : quel est son rôle ?

      equipe_technique_rgpd-min

      protection des données personnelles

      RGPD et équipes techniques : comment s'organiser ?

      Portabilité_données_RGPD

      protection des données personnelles

      Portabilité des données : que va permettre le RGPD ?

      Amélie Gautier
      A propos de Amélie Gautier

      Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

      COMMENTAIRES