Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. DPO RGPD : quelles sont ses missions ?

DPO RGPD : quelles sont ses missions ?

Me Sarah Benhammou
Me Sarah Benhammou Avocate, spécialisée en RGPD et droit des contrats Relu par Clémence Bonnet, Diplômée de l'École des Avocats

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. A compter de cette date, il est du devoir de chaque entreprise de s’y conformer dès lors que celle-ci est amenée à collecter et traiter des données personnelles de citoyens européens.

L’objectif du RGPD est de fixer un cadre légal commun à la protection des données personnelles au sein de l’Union Européenne.  

Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable » (nom, adresse, email, âge, sexe, par exemple).En pratique, il s’agira des données de vos clients, de vos salariés, ou encore de vos partenaires économiques.

Dans certains cas, le RGPD impose qu’une personne clairement identifiée, « un chef d’orchestre », soit obligatoirement désignée pour piloter la protection des données à caractère personnel au sein de l’entreprise. 

Si cette fonction n’est pas nouvelle et existait déjà sous le nom de « Correspond Informatique et Liberté » (dont la désignation était facultative), il n’en demeure pas moins que le DPO (Délégué à la protection des données) fait l’objet d’exigences renforcées notamment en matière de qualification et de formation. Il doit en effet maîtriser parfaitement les dispositions juridiques en matière de protection de données. De plus, le DPO sera à même de vous conseiller pour mettre en conformité votre entreprise aux obligations du RGPD. 

Me Sarah Benhammou, vous accompagne dans la mise en conformité de votre entreprise.

 

 

1/ Le DPO est-il obligatoire ? 

 

Le DPO (Data Protection Officer en anglais), est obligatoire dans 3 cas (article 37.7 du RGPD) : 

  • les autorités ou les organismes publics ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Tel serait le cas si votre entreprise procède à de la vidéo-surveillance, de la géolocalisation ou traite simplement un grand nombre de données personnelles.  Si le règlement ne précise pas ce dernier point, il convient de prendre en considération le nombre de personnes concernées, le volume de données, la durée de leur conservation, ou encore leur étendue géographique ;
  • les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Les données sensibles sont celles qui révèlent l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques ou religieuses, etc.

 

Même si vous estimez ne pas entrer dans ces trois situations, la CNIL recommande de désigner tout de même un DPO. D’autant plus qu’elle est amenée à effectuer des contrôles durant lesquels elle vous demandera notamment de justifier l’absence de DPO.

 

2/ Quelles sont les missions du DPO ?

 

Le DPO assure la conformité de votre entreprise au regard de la réglementation applicable en matière de protection des données personnelles.

Ses missions sont les suivantes :

  • Informer et conseiller votre entreprise sur les dispositions à mettre en œuvre pour se conformer au RGPD. Il s’agit tant de conseiller le chef d’entreprise que de sensibiliser son personnel, ou son sous-traitant, en leur communiquant par exemple de la documentation en matière de conformité. 
  • Contrôler le respect du RGPD et du droit national en matière de protection des données personnelles ; il effectue également une veille sur les évolutions en la matière aux fins que votre entreprise soit conforme aux dernières exigences.  Le DPO pourra ainsi vérifier que les droits de vos clients (droit d’accès aux données, droit à la portabilité des données, droit à la suppression ou à la modification des données) sont bien respectés.
  • Proposer à votre entreprise de procéder à une analyse d’impact concernant la protection des données, et d’en assurer le suivi le cas échéant.
  • Communiquer : coopérer avec la CNIL et être son interlocuteur privilégié, tout autant que répondre aux questions de vos clients en matière de collecte de données.
  • Le DPO peut assurer la tenue du registre des traitements de l’entreprise. Ce document permet de visualiser de manière globale le processus de traitement des données personnelles (nature des données, durée de leur conversation, leur finalité, etc).

 

Ainsi le DPO, en bon « chef d’orchestre », priorisera les actions à mener en fonction du contexte et des risques associés, spécifiques à l’activité de votre entreprise.

 

3/ Qui peut être DPO ?

 

Selon le RGPD, le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

De plus, il convient également qu’il ait une bonne connaissance de votre secteur d’activité et de l’organisation de votre société, qu’il soit neutre, et qu’il puisse intervenir rapidement en interne.

Bien qu’il n’y ait pas de profil type ni de diplôme spécifique, la CNIL délivre une certification des compétences du DPO.  Il s’agit d’une démarche volontaire permettant à tout professionnel de démontrer qu’il justifie des qualités nécessaires. 

Ainsi la fonction peut être incarnée en interne par un salarié, ou en externe par un consultant ou encore par exemple par un avocat spécialisé.

Cependant, il conviendra qu’il exerce en toute indépendance. Dès lors, il faut être attentif à ce qu’il n’y ait aucun conflit d’intérêt. En effet, le DPO ne pourrait être juge et partie.  Il conviendra d’être vigilant s’il s’agit d’un salarié. Des postes à responsabilité de directeur, responsable des ressources humaines par exemple, seraient susceptibles de donner lieu à un conflit d’intérêt.

Ainsi, si un salarié est désigné DPO, il ne devra pas déterminer l’objectif, la finalité des données ni la façon dont elles seront traitées.

 

4/ Comment désigner un DPO ?

 

Votre DPO identifié, vous devez le déclarer auprès de la CNIL. Un formulaire en ligne a été mis en place pour simplifier la démarche. Il vous sera demandé un certain nombre d’informations : votre numéro de SIREN, dénomination sociale, secteur d’activité, l’identité et les coordonnées publiques et privées du DPO, celles du responsable légal, etc.

En retour, la CNIL vous émettra un récépissé de désignation.

Par exception, si votre entreprise réalise des traitements transfrontaliers et que son établissement principal n’est pas en France mais dans l’Union Européenne, il conviendra de déclarer le DPO auprès d’une autorité étrangère.

 

5/ Quelle est la responsabilité du DPO ?

 

Sauf infraction intentionnelle ou complicité, le DPO n’est pas personnellement responsable en cas de manquement de la société au RGPD, ou de sanction par la CNIL. La responsabilité émane de l’organisme qui l’a désigné.

Le DPO bénéficie d’une certaine protection dans l’exercice de sa mission. Le RGPD prévoit notamment que le DPO ne peut être relevé de ses fonctions par le responsable de traitement ou le sous-traitant.

Il ne doit pas non plus recevoir d’instructions et ne peut être sanctionné dans l’exercice de sa mission.

Pour autant, s’agissant d’un salarié, il ne bénéficiera pas du statut de salarié protégé.

Ainsi, il n’est pas garant de la conformité au RGPD de votre entreprise. Il doit davantage être perçu comme un « lanceur d’alerte » en vous incitant à vous mettre en conformité.

 

***

La mise en conformité RGPD d’une entreprise impose de passer par de nombreuses étapes : cartographier les informations collectées, sensibiliser les équipes, mettre à jour les outils et techniques utilisées, mettre à jour votre documentation (politique de confidentialité, cookies…). C’est un processus qui impose de lourdes ressources mais c’est aussi, au regard du rôle du DPO, un travail qui s’effectue sur la durée. 

Il ne suffit pas d’être conforme au RGPD à l’instant T. Encore faut-il que les mesures et les règles mises en place soient respectées chaque jour. Un avocat pourra vous accompagner dans votre mise en conformité initiale et vous accompagner tout au long du développement de votre entreprise en tant que conseil professionnel ou DPO. 

 

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Besoin d'échanger avec un avocat ?
Consulter Me Benhammou
Me Sarah Benhammou

Avocate au Barreau de Paris, spécialisée en RGPD et droit des contrats, Me Sarah Benhammou intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques. En tant que DPO, elle assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté ainsi que le RGPD : audit, mise en conformité, tenue du registre de traitement, mise en conformité de site internet.

Relu par Clémence Bonnet

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Le DPO est-il obligatoire pour votre entreprise ?
6 min
Le DPO est-il obligatoire pour votre entreprise ?
Quelle est l'utilité de nommer un DPO externe ?
4 min
Quelle est l'utilité de nommer un DPO externe ?
Délégué à la protection des données (DPO) : quel est son rôle ? (2024)
5 min
Délégué à la protection des données (DPO) : quel est son rôle ? (2024)
Formation de DPO : vraiment utile pour être conforme au RGPD ?
2 min
Formation de DPO : vraiment utile pour être conforme au RGPD ?
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
RGPD et équipes techniques : comment s'organiser ?
4 min
RGPD et équipes techniques : comment s'organiser ?
Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?