Qu’est-ce qu’un DPO ?
Le DPO, c’est le Délégué à la Protection des Données (Data Protection Officer).
C’est une fonction incontournable. Son rôle est d’accompagner votre entreprise dans ses démarches de mise en conformité avec le RGPD. RGPD est l’acronyme du Règlement Général sur la Protection des Données personnelles. Adopté en 2016, il est ensuite entré en vigueur le 25 mai 2018. L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne (UE) au sujet des données personnelles, en remplaçant une directive datant de 1995. Le RGPD a aussi comme objectif d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres.
A ce titre, le DPO est une figure centrale, en lien avec l’ensemble des services pouvant être amenés à manipuler des données personnelles :
- Direction marketing, direction commerciale, qu’elles adressent des publics B2C ou B2B ;
- Directions métiers internes : DRH, direction de la paie, finances, juridique, direction de l’exploitation… ;
- Direction technique, direction des systèmes d’information ;
- Direction de la Communication ;
- etc.
Quelles sont les missions d’un DPO ?
Ses missions sont variées, mais le Délégué à la Protection des Données est principalement chargé :
- d’informer et de conseiller l’entreprise avec laquelle il travaille ;
- de contrôler le respect de la règlementation en matière de protection des données personnelles ;
- de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci
- d’être le point de contact des personnes concernées
Pour en savoir plus sur ses missions et ses compétences, nous vous invitons à lire notre article à ce sujet ici.
Qui peut être désigné DPO ?
Il n’existe pas de profil type de DPO. Néanmoins, il doit être désigné “sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions” (article 37.5 du RGPD).
Le DPO peut être interne ou externe à l’organisation.
Dans quels cas un DPO est-il obligatoire ?
La désignation d’un Délégué à la protection des données (ou Data Protection Officer, ou DPO) est obligatoire dans les cas suivants :
- Lorsque le traitement est effectué par une autorité publique ou un organisme public.
- Lorsque vos activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.
- Lorsque vos activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions.
Vous avez l’obligation de déclarer votre DPO à l’autorité de contrôle dont vous dépendez.
Pour la France, votre DPO doit être désigné auprès de l’autorité de contrôle française, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL).
Pour plus d’informations et pour effectuer la désignation en ligne de votre DPO, veuillez consulter le site de la CNIL.
Pour la Belgique, votre DPO doit être désigné auprès de l’autorité de contrôle Belge, à savoir l’Autorité de protection des données (l’APD).
Pour plus d’informations et pour effectuer la désignation en ligne de votre DPO, veuillez consulter le site de l’APD.
En Belgique, si votre organisme traite des données en tant que sous-traitant pour le compte d’une autorité publique ou un organisme public, vous avez l’obligation de désigner un DPO.
Ne ratez pas l’évènement incontournable des acteurs de la protection des données, le Printemps des DPO qui a lieu chaque année à Paris !
Que faire si ce n’est pas obligatoire pour mon entreprise ?
Comment se conformer sans obligation de DPO ?
Si vous ne faites pas parti des cas mentionnés plus haut, la CNIL conseille toujours et encourage toutes les organisations à désigner un Délégué à la Protection des Données. Cela permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles, et également de savoir comment réagir en cas de violation de données par exemple. Vous pouvez être donc sûr d’être conforme au RGPD avec un DPO à vos côtés.
Si vous n’êtes pas conforme au RGPD, vous risquez des sanctions. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent également être rendues publiques, ce qui peut donc ternir l’image et la réputation de votre entreprise.
Que vous soyez une petite ou une grande entreprise, aucune organisation n’est à l’abri d’une enquête de la CNIL. C’est pourquoi nous vous conseillons de faire appel à un DPO en cas de doute pour être sereins.
Souhaitez-vous savoir si vous devez désigner un DPO ?
Si vous n’êtes pas sur de savoir si vous devez désigner un DPO, nous vous invitons à contacter Admeet en cliquant sur le bouton ci-dessous. Nous prendrons le temps de discuter avec vous afin de déterminer ensemble la démarche à suivre.
Vous souhaitez mettre votre site web en conformité RGPD ?
Pour vous aider dans vos missions de DPO, Admeet a développé une solution tout-en-un pour vous. Conçue par des experts RGPD qui comprennent vos besoins, nous vous simplifions la vie grâce à notre logiciel. Nous générons des documents légaux sur mesure, uniques pour chacun de vos clients, et hautement qualitatifs. Vous pouvez piloter toutes les politiques de confidentialité et de cookies, en Legal Design, de tous les sites de vos clients sur un même dashboard, et également gérer les consentements cookies grâce à nos bannières et notre Consent Management Platform (CMP).
3 bonnes raisons de se conformer au RGPD
Vous vous demandez encore pour quelles raisons est-ce important de se conformer au RGPD ? Nous vous listons 3 bonnes raisons pour que n’ayez plus de doute :
- Etre transparent avec les utilisateurs est pour nous l’une des choses les plus importantes. Par exemple, leur expliquer pourquoi nous avons besoin de leurs données personnelles, sur quelle base légale, qu’allons-nous faire de ces données, quels sont leurs droits etc. Cela permet de créer une relation de confiance avec ses clients.
- Aujourd’hui, de nombreux sites web ne sont pas conformes au RGPD. Respecter le RGPD vous permet ainsi de vous différencier de vos concurrents et de donner une bonne première impression à vos clients.
- Comme mentionné plus haut, cela vous évite les sanctions. Les sanctions peuvent survenir à la suite d’une plainte d’une personne concernée ou à la suite d’une mission de contrôle de la CNIL.