Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. DPO RGPD : quelles sont ses missions ?

DPO RGPD : quelles sont ses missions ?

Consulter Me Benhammou
Consulter Me Benhammou

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. A compter de cette date, il est du devoir de chaque entreprise de s’y conformer dès lors que celle-ci est amenée à collecter et traiter des données personnelles de citoyens européens.

L’objectif du RGPD est de fixer un cadre légal commun à la protection des données personnelles au sein de l’Union Européenne.  

Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable » (nom, adresse, email, âge, sexe, par exemple).En pratique, il s’agira des données de vos clients, de vos salariés, ou encore de vos partenaires économiques.

Dans certains cas, le RGPD impose qu’une personne clairement identifiée, « un chef d’orchestre », soit obligatoirement désignée pour piloter la protection des données à caractère personnel au sein de l’entreprise. 

Si cette fonction n’est pas nouvelle et existait déjà sous le nom de « Correspond Informatique et Liberté » (dont la désignation était facultative), il n’en demeure pas moins que le DPO (Délégué à la protection des données) fait l’objet d’exigences renforcées notamment en matière de qualification et de formation. Il doit en effet maîtriser parfaitement les dispositions juridiques en matière de protection de données. De plus, le DPO sera à même de vous conseiller pour mettre en conformité votre entreprise aux obligations du RGPD. 

Me Sarah Benhammou, vous accompagne dans la mise en conformité de votre entreprise.

 

 

1/ Le DPO est-il obligatoire ? 

 

Le DPO (Data Protection Officer en anglais), est obligatoire dans 3 cas (article 37.7 du RGPD) : 

  • les autorités ou les organismes publics ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Tel serait le cas si votre entreprise procède à de la vidéo-surveillance, de la géolocalisation ou traite simplement un grand nombre de données personnelles.  Si le règlement ne précise pas ce dernier point, il convient de prendre en considération le nombre de personnes concernées, le volume de données, la durée de leur conservation, ou encore leur étendue géographique ;
  • les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Les données sensibles sont celles qui révèlent l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques ou religieuses, etc.

 

Même si vous estimez ne pas entrer dans ces trois situations, la CNIL recommande de désigner tout de même un DPO. D’autant plus qu’elle est amenée à effectuer des contrôles durant lesquels elle vous demandera notamment de justifier l’absence de DPO.

 

2/ Quelles sont les missions du DPO ?

 

Le DPO assure la conformité de votre entreprise au regard de la réglementation applicable en matière de protection des données personnelles.

Ses missions sont les suivantes :

  • Informer et conseiller votre entreprise sur les dispositions à mettre en œuvre pour se conformer au RGPD. Il s’agit tant de conseiller le chef d’entreprise que de sensibiliser son personnel, ou son sous-traitant, en leur communiquant par exemple de la documentation en matière de conformité. 
  • Contrôler le respect du RGPD et du droit national en matière de protection des données personnelles ; il effectue également une veille sur les évolutions en la matière aux fins que votre entreprise soit conforme aux dernières exigences.  Le DPO pourra ainsi vérifier que les droits de vos clients (droit d’accès aux données, droit à la portabilité des données, droit à la suppression ou à la modification des données) sont bien respectés.
  • Proposer à votre entreprise de procéder à une analyse d’impact concernant la protection des données, et d’en assurer le suivi le cas échéant.
  • Communiquer : coopérer avec la CNIL et être son interlocuteur privilégié, tout autant que répondre aux questions de vos clients en matière de collecte de données.
  • Le DPO peut assurer la tenue du registre des traitements de l’entreprise. Ce document permet de visualiser de manière globale le processus de traitement des données personnelles (nature des données, durée de leur conversation, leur finalité, etc).

 

Ainsi le DPO, en bon « chef d’orchestre », priorisera les actions à mener en fonction du contexte et des risques associés, spécifiques à l’activité de votre entreprise.

 

3/ Qui peut être DPO ?

 

Selon le RGPD, le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

De plus, il convient également qu’il ait une bonne connaissance de votre secteur d’activité et de l’organisation de votre société, qu’il soit neutre, et qu’il puisse intervenir rapidement en interne.

Bien qu’il n’y ait pas de profil type ni de diplôme spécifique, la CNIL délivre une certification des compétences du DPO.  Il s’agit d’une démarche volontaire permettant à tout professionnel de démontrer qu’il justifie des qualités nécessaires. 

Ainsi la fonction peut être incarnée en interne par un salarié, ou en externe par un consultant ou encore par exemple par un avocat spécialisé.

Cependant, il conviendra qu’il exerce en toute indépendance. Dès lors, il faut être attentif à ce qu’il n’y ait aucun conflit d’intérêt. En effet, le DPO ne pourrait être juge et partie.  Il conviendra d’être vigilant s’il s’agit d’un salarié. Des postes à responsabilité de directeur, responsable des ressources humaines par exemple, seraient susceptibles de donner lieu à un conflit d’intérêt.

Ainsi, si un salarié est désigné DPO, il ne devra pas déterminer l’objectif, la finalité des données ni la façon dont elles seront traitées.

 

4/ Comment désigner un DPO ?

 

Votre DPO identifié, vous devez le déclarer auprès de la CNIL. Un formulaire en ligne a été mis en place pour simplifier la démarche. Il vous sera demandé un certain nombre d’informations : votre numéro de SIREN, dénomination sociale, secteur d’activité, l’identité et les coordonnées publiques et privées du DPO, celles du responsable légal, etc.

En retour, la CNIL vous émettra un récépissé de désignation.

Par exception, si votre entreprise réalise des traitements transfrontaliers et que son établissement principal n’est pas en France mais dans l’Union Européenne, il conviendra de déclarer le DPO auprès d’une autorité étrangère.

 

5/ Quelle est la responsabilité du DPO ?

 

Sauf infraction intentionnelle ou complicité, le DPO n’est pas personnellement responsable en cas de manquement de la société au RGPD, ou de sanction par la CNIL. La responsabilité émane de l’organisme qui l’a désigné.

Le DPO bénéficie d’une certaine protection dans l’exercice de sa mission. Le RGPD prévoit notamment que le DPO ne peut être relevé de ses fonctions par le responsable de traitement ou le sous-traitant.

Il ne doit pas non plus recevoir d’instructions et ne peut être sanctionné dans l’exercice de sa mission.

Pour autant, s’agissant d’un salarié, il ne bénéficiera pas du statut de salarié protégé.

Ainsi, il n’est pas garant de la conformité au RGPD de votre entreprise. Il doit davantage être perçu comme un « lanceur d’alerte » en vous incitant à vous mettre en conformité.

 

***

La mise en conformité RGPD d’une entreprise impose de passer par de nombreuses étapes : cartographier les informations collectées, sensibiliser les équipes, mettre à jour les outils et techniques utilisées, mettre à jour votre documentation (politique de confidentialité, cookies…). C’est un processus qui impose de lourdes ressources mais c’est aussi, au regard du rôle du DPO, un travail qui s’effectue sur la durée. 

Il ne suffit pas d’être conforme au RGPD à l’instant T. Encore faut-il que les mesures et les règles mises en place soient respectées chaque jour. Un avocat pourra vous accompagner dans votre mise en conformité initiale et vous accompagner tout au long du développement de votre entreprise en tant que conseil professionnel ou DPO. 

 

Me Sarah Benhammou
Écrit par Me Sarah Benhammou
Droit du numérique
Droit commercial
Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

4 min
Changement du bureau de l'association : la procédure

Le changement de bureau d'une association implique le respect d'une certaine procédure : convocation des adhérent, réunion en assemblée générale et organisation de nouvelles élections. Me Benhammou vous accompagne

3 min
Bureau de l'association : composition, rôle et fonctionnement

Bureau d'association : Découvrez tout ce qu'il y a à savoir de la composition, des rôles et fonctionnement du bureau d'association.

5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

5 min
Consentement RGPD : comment l'obtenir ?

Pour être conforme, le consentement RGPD répond à une multitude de critères de validité. Comment demander ce consentement, le recueillir, le stocker, le retirer le cas échéant ? Me Benhammou vous accompagne dans votre mise en conformité RGPD.

5 min
L'association d'intérêt général : définition et fonctionnement

Vous souhaitez créer votre association d'intérêt général ? Cela passe par la création au préalable d'une association loi 1901. D'autres conditions devront être remplies afin d'obtenir l'agrément d'intérêt général. Me Benhammou vous guide.

5 min
Comment créer une association humanitaire ?

Passionné d'humanitaire vous souhaitez créer votre association ? Mais quel est le rôle d'une association humanitaire ? Comment la créer ? Comment la financer ? Me Benhammou vous accompagne

5 min
L'association transparente : définition et fonctionnement

Les associations peuvent être utilisées par l'État, les collectivités. Qu'est-ce qu'une association transparente ? Comment est-elle caractérisée ? Quelles sont les conséquences de cette qualification ? Me Sarah Benhammou décrypte le sujet et vous accompagne dans la création de votre association et des partenariats que vous allez nouer.

5 min
Sous traitants et RGPD : comment être conforme ?

Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants.

5 min
Le rapport d'activité d'association : définition et fonctionnement

L’une des obligations du gérant d'association réside dans la tenue d’une assemblée générale annuelle, pendant laquelle le rapport d’activité de l’association est présenté.

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier