DPO RGPD : quelles sont ses missions ?

par
5
Consulter Me Benhammou

Sommaire

  1. Le DPO est-il obligatoire ? 
  2. Quelles sont les missions du DPO ? 
  3. Qui peut-être un DPO ?
  4. Comment désigner un DPO ? 
  5. Quelle est la responsabilité du DPO ? 
Consulter Me Benhammou

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. A compter de cette date, il est du devoir de chaque entreprise de s’y conformer dès lors que celle-ci est amenée à collecter et traiter des données personnelles de citoyens européens.

L’objectif du RGPD est de fixer un cadre légal commun à la protection des données personnelles au sein de l’Union Européenne.  

Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable » (nom, adresse, email, âge, sexe, par exemple).En pratique, il s’agira des données de vos clients, de vos salariés, ou encore de vos partenaires économiques.

Dans certains cas, le RGPD impose qu’une personne clairement identifiée, « un chef d’orchestre », soit obligatoirement désignée pour piloter la protection des données à caractère personnel au sein de l’entreprise. 

Si cette fonction n’est pas nouvelle et existait déjà sous le nom de « Correspond Informatique et Liberté » (dont la désignation était facultative), il n’en demeure pas moins que le DPO (Délégué à la protection des données) fait l’objet d’exigences renforcées notamment en matière de qualification et de formation. Il doit en effet maîtriser parfaitement les dispositions juridiques en matière de protection de données. De plus, le DPO sera à même de vous conseiller pour mettre en conformité votre entreprise aux obligations du RGPD. 

Me Sarah Benhammou, vous accompagne dans la mise en conformité de votre entreprise.

 

1/ Le DPO est-il obligatoire ? 

 

Le DPO (Data Protection Officer en anglais), est obligatoire dans 3 cas (article 37.7 du RGPD) : 

  • les autorités ou les organismes publics ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Tel serait le cas si votre entreprise procède à de la vidéo-surveillance, de la géolocalisation ou traite simplement un grand nombre de données personnelles.  Si le règlement ne précise pas ce dernier point, il convient de prendre en considération le nombre de personnes concernées, le volume de données, la durée de leur conservation, ou encore leur étendue géographique ;
  • les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Les données sensibles sont celles qui révèlent l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques ou religieuses, etc.

 

Même si vous estimez ne pas entrer dans ces trois situations, la CNIL recommande de désigner tout de même un DPO. D’autant plus qu’elle est amenée à effectuer des contrôles durant lesquels elle vous demandera notamment de justifier l’absence de DPO.

 

2/ Quelles sont les missions du DPO ?

 

Le DPO assure la conformité de votre entreprise au regard de la réglementation applicable en matière de protection des données personnelles.

Ses missions sont les suivantes :

  • Informer et conseiller votre entreprise sur les dispositions à mettre en œuvre pour se conformer au RGPD. Il s’agit tant de conseiller le chef d’entreprise que de sensibiliser son personnel, ou son sous-traitant, en leur communiquant par exemple de la documentation en matière de conformité. 
  • Contrôler le respect du RGPD et du droit national en matière de protection des données personnelles ; il effectue également une veille sur les évolutions en la matière aux fins que votre entreprise soit conforme aux dernières exigences.  Le DPO pourra ainsi vérifier que les droits de vos clients (droit d’accès aux données, droit à la portabilité des données, droit à la suppression ou à la modification des données) sont bien respectés.
  • Proposer à votre entreprise de procéder à une analyse d’impact concernant la protection des données, et d’en assurer le suivi le cas échéant.
  • Communiquer : coopérer avec la CNIL et être son interlocuteur privilégié, tout autant que répondre aux questions de vos clients en matière de collecte de données.
  • Le DPO peut assurer la tenue du registre des traitements de l’entreprise. Ce document permet de visualiser de manière globale le processus de traitement des données personnelles (nature des données, durée de leur conversation, leur finalité, etc).

 

Ainsi le DPO, en bon « chef d’orchestre », priorisera les actions à mener en fonction du contexte et des risques associés, spécifiques à l’activité de votre entreprise.

 

3/ Qui peut être DPO ?

 

Selon le RGPD, le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

De plus, il convient également qu’il ait une bonne connaissance de votre secteur d’activité et de l’organisation de votre société, qu’il soit neutre, et qu’il puisse intervenir rapidement en interne.

Bien qu’il n’y ait pas de profil type ni de diplôme spécifique, la CNIL délivre une certification des compétences du DPO.  Il s’agit d’une démarche volontaire permettant à tout professionnel de démontrer qu’il justifie des qualités nécessaires. 

Ainsi la fonction peut être incarnée en interne par un salarié, ou en externe par un consultant ou encore par exemple par un avocat spécialisé.

Cependant, il conviendra qu’il exerce en toute indépendance. Dès lors, il faut être attentif à ce qu’il n’y ait aucun conflit d’intérêt. En effet, le DPO ne pourrait être juge et partie.  Il conviendra d’être vigilant s’il s’agit d’un salarié. Des postes à responsabilité de directeur, responsable des ressources humaines par exemple, seraient susceptibles de donner lieu à un conflit d’intérêt.

Ainsi, si un salarié est désigné DPO, il ne devra pas déterminer l’objectif, la finalité des données ni la façon dont elles seront traitées.

 

4/ Comment désigner un DPO ?

 

Votre DPO identifié, vous devez le déclarer auprès de la CNIL. Un formulaire en ligne a été mis en place pour simplifier la démarche. Il vous sera demandé un certain nombre d’informations : votre numéro de SIREN, dénomination sociale, secteur d’activité, l’identité et les coordonnées publiques et privées du DPO, celles du responsable légal, etc.

En retour, la CNIL vous émettra un récépissé de désignation.

Par exception, si votre entreprise réalise des traitements transfrontaliers et que son établissement principal n’est pas en France mais dans l’Union Européenne, il conviendra de déclarer le DPO auprès d’une autorité étrangère.

 

5/ Quelle est la responsabilité du DPO ?

 

Sauf infraction intentionnelle ou complicité, le DPO n’est pas personnellement responsable en cas de manquement de la société au RGPD, ou de sanction par la CNIL. La responsabilité émane de l’organisme qui l’a désigné.

Le DPO bénéficie d’une certaine protection dans l’exercice de sa mission. Le RGPD prévoit notamment que le DPO ne peut être relevé de ses fonctions par le responsable de traitement ou le sous-traitant.

Il ne doit pas non plus recevoir d’instructions et ne peut être sanctionné dans l’exercice de sa mission.

Pour autant, s’agissant d’un salarié, il ne bénéficiera pas du statut de salarié protégé.

Ainsi, il n’est pas garant de la conformité au RGPD de votre entreprise. Il doit davantage être perçu comme un « lanceur d’alerte » en vous incitant à vous mettre en conformité.

 

***

La mise en conformité RGPD d’une entreprise impose de passer par de nombreuses étapes : cartographier les informations collectées, sensibiliser les équipes, mettre à jour les outils et techniques utilisées, mettre à jour votre documentation (politique de confidentialité, cookies…). C’est un processus qui impose de lourdes ressources mais c’est aussi, au regard du rôle du DPO, un travail qui s’effectue sur la durée. 

Il ne suffit pas d’être conforme au RGPD à l’instant T. Encore faut-il que les mesures et les règles mises en place soient respectées chaque jour. Un avocat pourra vous accompagner dans votre mise en conformité initiale et vous accompagner tout au long du développement de votre entreprise en tant que conseil professionnel ou DPO. 

Me Sarah Benhammou

Écrit par

Me Sarah Benhammou

Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 

Posez votre question à Me Benhammou

Besoin d'accompagnement dans la procédure de mise en conformité RGPD ? Contractez Me Sarah Benhammou

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier