Le Délégué à la Protection des Données ou DPO
La fonction de Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) nécessite différentes compétences et qualités.
Le Délégué à la protection des données (DPD) ou Data Protection Officer en anglais (DPO) est une évolution du Correspondant Informatique et Libertés (CIL) prévu par la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978.
La fonction de DPD/DPO est définie dans le Règlement général sur la protection des données (RGPD) n°2016/679 du 27 avril 2016, principalement par le Considérant 97 et par sa Section 4, aux articles 37, 38 et 39.
L’article 37 du RGPD vise trois cas dans lesquels la désignation d’un DPO est obligatoire :
1er cas : le traitement de données personnelles estmis en œuvre par une autorité publique ou un organisme public ;
2ème cas : l’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
3ème cas : l’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) et de données relatives à des condamnations pénales ou des infractions.
Dans les autres cas, la CNIL recommande vivement la désignation d’un DPD/DPO.
L’obligation de désigner un DPD/DPO s’applique aussi bien aux Responsables de traitement qu’aux Sous-traitants.
Le DPD/DPO peut être interne ou externe ; il doit dans tous les cas exercer ses missions et fonctions en toute indépendance (il ne peut pas être « juge et partie ») ; il ne peut être tenu responsable en cas de non-respect du RGPD par le Responsable de traitement.
La mission principale d’un DPD/DPO est de faire en sorte que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. Il intervient une fois la mise en conformité finalisée, le cas échéant après y avoir participé.
La fonction de DPD est un élément clé de co-régulation, par la pratique et au travers des missions suivantes :
- Informer et sensibiliser, diffuser une culture « Informatique et Libertés » au sein de l’entreprise ;
- Veiller au respect du cadre légal au sein de l’entreprise ;
- Informer, responsabiliser et, si besoin, alerter le Responsable de traitement ;
- Analyser, investiguer, auditer, contrôler les pratiques en matière de traitement des données ;
- Établir et maintenir une documentation au titre de la conformité au RGPD ;
- Assurer la médiation avec les personnes concernées (clients, consommateurs, salariés…) ;
- Présenter un rapport annuel au Responsable de traitement ;
- Interagir avec l’autorité de contrôle (CNIL).
effective IP propose un service de DPO externe et est à votre disposition pour identifier vos besoins précis et définir avec vous la mission à mettre en place. N’hésitez pas à contacter le cabinet par téléphone ou par email à ce sujet.