Quel est le rôle du délégué à la protection des données (DPO) ?
Le délégué à la protection des données est la personne en charge de la conformité au RGPD d’un organisme ou d’une entreprise. Sa désignation peut être obligatoire si vous traitez des données personnelles. En effet, protéger les données personnelles est aujourd’hui une obligation légale que vous devez pouvoir prouver à tout moment auprès des autorités de contrôle comme la CNIL. C’est également un enjeu important situé au cœur du contrat de confiance qui vous lie à vos clients, à vos collaborateurs et à vos partenaires. Comprendre l’intérêt du rôle du délégué à la protection des données est essentiel pour la bonne mise en application du RGPD.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données, ou RGPD, vise à encadrer l’exploitation des données à caractère personnel des citoyens européens.
Dès le premier article de ce règlement, le Parlement Européen et le Conseil de l’Union Européenne rappellent que « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. »
Depuis son entrée en application le 25 mai 2018, le RGPD prévoit le renforcement de la responsabilité des entreprises : vous devez dorénavant assurer une protection optimale des données collectées et prouver à tout moment votre conformité à la réglementation européenne, sous peine de sanctions.
Les difficultés rencontrées par les entreprises
Les principales difficultés rencontrées par les entreprises pour la protection des données sont directement liées à la sécurité des systèmes d’information.
- Une vision globale du système informatique
Pour une sécurité pérenne et efficace de votre système informatique, il est essentiel d’avoir une connaissance précise des logiciels et matériels utilisés au sein de votre organisation. L’identification des risques informatiques démontre souvent une vision partielle du SI de l’entreprise.
- L’adhésion des salariés
L’adhésion des salariés aux bonnes pratiques est indispensable à une conformité RGPD. En effet, les salariés téléchargent parfois des applications ou des logiciels sans en informer la DSI. Sans volonté de nuire, cette pratique peut provoquer d’éventuelles failles de sécurité. Les virus entrent également par les boîtes mail de vos collaborateurs. Une sensibilisation aux méthodes de la cybercriminalité, comme l’hameçonnage ou le phishing, peut participer à la protection globale de votre système informatique.
Une formation de vos collaborateurs au RGPD (définition, risques et bonnes pratiques) est nécessaire. Cela peut entrer dans les attributions de votre délégué à la protection des données.
Le rôle du DPO
Le rôle du délégué à la protection des données, ou DPO, est de garantir la mise en conformité de l’entreprise à la réglementation européenne :
- Veiller au respect du RGPD ;
- Conseiller et informer les employés ;
- Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données ;
- Vérifier la bonne exécution ;
- Faire le lien avec la CNIL qui est l’autorité de contrôle.
Le DPO tient également à jour le registre RGPD, un outil de pilotage qui permet :
- D’identifier les éventuels risques et les hiérarchiser ;
- De documenter le traitement des données personnelles ;
- De prouver votre mise en conformité au RGPD.
Pour la réussite de sa mission, le DPO doit donc pouvoir bénéficier de ressources suffisantes pour exercer ses fonctions en toute indépendance et sans conflit d’intérêt. Il n’y a pas de profil type, mais son positionnement doit être stratégique au sein de l’organisation.
Enfin, le DPO ne peut pas être juge et partie et il ne peut pas être personnellement responsable en cas de non-conformité de l’entreprise.
La certification DPO
La certification DPO atteste de la légitimité du délégué. Ce n’est pas une obligation, mais l’assurance d’un niveau de formation spécifique et adapté à votre activité. Certains organismes certifiés par la CNIL délivrent les certifications DPO si le candidat remplit certaines conditions :
- Réussir une épreuve écrite sous forme de QCM ;
- Justifier d’une expérience professionnelle d’au moins 2 ans en lien avec la protection des données ;
- Ou avoir suivi une formation de 35 heures sur la protection des données.
Un certificat DPO est valable pour une période de trois ans.
Est-il obligatoire ?
La désignation d’un DPO auprès de la CNIL est obligatoire sous peine de sanction dans les cas suivants :
- Les autorités ou les organismes publics ;
- Les activités qui amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Les activités de traitement à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions.
En dehors de ces cas, la présence d’un DPO n’est pas obligatoire, mais fortement conseillée pour coordonner les actions à mener en matière de protection des données personnelles.
DPO interne ou externe à l’entreprise ?
Le DPO peut être interne ou externe à l’entreprise. Le délégué peut par exemple être mutualisé, autrement dit désigné pour un groupe d’entreprises. La condition est qu’il soit facilement joignable par les personnes concernées.
Le rôle du délégué à la protection des données est donc de faire le lien entre la CNIL, qui est l’autorité de contrôle en France et votre entreprise. Il participe activement à la mise en conformité de vos processus et la sensibilisation de vos salariés. L’objectif est bien entendu de respecter les obligations légales de l’entreprise vis-à-vis du RGPD.
