Le DPO est l’interlocuteur interne en charge d’accompagner la mise en conformité RGPD de votre entreprise. Il a un role clé : il est un conseiller, un expert un chef de projet et point de contact avec l’autorité de régulation. Pour choisir son DPO, il vaut donc mieux rechercher un profil capable de répondre à divers types de missions.
On vous en parle dans cet article.
Qu’est-ce qu’un DPO ?
Le DPO, c’est le Délégué à la Protection des Données (Data Protection Officer).
C’est une fonction incontournable. Son rôle est d’accompagner votre entreprise dans ses démarches de mise en conformité avec le RGPD.
Le RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
A ce titre, le DPO est une figure centrale, en lien avec l’ensemble des services pouvant être amenés à manipuler des données personnelles :
- Direction marketing, direction commerciale, qu’elles adressent des publics B2C ou B2B ;
- Directions métiers internes : DRH, direction de la paie, finances, juridique, direction de l’exploitation… ;
- Direction technique, direction des systèmes d’information ;
- Direction de la Communication ;
- etc.
Pour rappel, une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Quelles sont les missions du DPO ?
Le DPO réalise divers types de missions :
- Informer et conseiller votre organisme ainsi que les équipes. Le DPO peut par exemple être consulté afin de savoir comment mettre vos sites web, vos applications mobiles ou vos applications informatiques en conformité avec le RGPD.
- Contribuer à diffuser une culture informatique et libertés dans l’entreprise. Le DPO contribue à former le personnel aux obligations à respecter. Plus globalement, le DPO accompagne la conduite du changement quant à la manière d’exploiter des données personnelles.
- Contrôler le respect des obligations légales en matière de protection des données personnelles. Ceci passe notamment par la conduite d’audits voire de contrôles fictifs au sein de l’entreprise.
- Recommander lorsque nécessaire la réalisation d’une analyse d’impact relative à la protection des données (DPIA) et s’assurer de son exécution.
- Coopérer avec l’autorité de régulation. Le DPO sera par ailleurs son point de contact référent, notamment à l’occasion de contrôles ou de demandes d’observations.
Accompagner les démarches de mise en conformité de votre entreprise, de e-commerce par exemple, implique que le DPO :
- Aide votre organisme à cartographier les traitements de données personnelles en place ;
- Priorise les actions à mener en matière de protection des données ;
- Organise les procédures internes rendues nécessaires par le RGPD (notification des violations de données ; prise en compte des demandes d’exercices de droits…) ;
- Documente la conformité de votre organisme.
Quelle est la responsabilité du DPO ?
Le DPO n’est jamais le responsable du traitement des données (il s’agit d’une opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le moyen utilisé pour collecter ces données). Son rôle est plutôt celui d’un conseiller et d’un contrôleur.
En premier lieu, la responsabilité du traitement (personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser), est assumée par votre organisme :
- pour les traitements mis en œuvre en interne par vos diverses directions et services ;
- pour les manipulations de données effectuées par des sous-traitants pour le compte de votre organisme.
Cette responsabilité ne se délègue pas au DPO. Cela veut dire que le responsable légal de votre organisme assume toute conséquence liée au non-respect des obligations légales.
Dans ce contexte, le DPO aide notamment à maîtriser ce risque conformité en transmettant un plan d’actions prioritaires à conduire, en effectuant des recommandations et des alertes diverses. Que le Délégué soit suivi ou pas, le responsable légal de l’organisme devra assumer pleinement toute conséquence en cas de contrôle de la CNIL ou de l’autorité de régulation concernée.
De la même manière, lorsque vous externalisez une prestation de services à un sous-traitant, vous ne déléguez jamais la responsabilité qui découle de la manipulation des données réalisée pour votre compte.
Quelles sont les compétences du DPO ?
En octobre 2018, la CNIL a publié un référentiel de certification des compétences du DPO.
Ce document sera pour vous d’une aide précieuse pour bien choisir votre DPO. Il vous faut un professionnel capable de s’intégrer dans la culture de votre entreprise, d’en comprendre les activités pour les accompagner au mieux.
Les DPO peuvent venir d’horizon divers :
- de milieux juridiques ;
- de directions techniques ;
- d’autres horizons.
Quelles sont les compétences identifiées par la CNIL dans son référentiel ?
- Connaître et être capable de comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité ;
- Savoir identifier la base légale d’un traitement ;
- Savoir déterminer les mesures permettant d’informer correctement les personnes dont les données sont traitées ;
- Savoir établir des procédures internes et gérer des demandes d’exercice de droit ;
- Connaître les obligations du sous-traitant ;
- Savoir identifier et sécuriser les transferts de données hors Union Européenne ;
- Savoir élaborer et mettre en œuvre une politique interne de protection des données ;
- Savoir conduire des audits ;
- Savoir gérer un registre des activités de traitements, documenter des violations de données et documenter la conformité globale de l’organisme ;
- Savoir identifier les mesures de privacy by design et de privacy by default à mettre en place ;
- Contribuer à la détermination des mesures de sécurité à mettre en place ;
- Savoir déterminer si une violation de données nécessite une notification à l’autorité de contrôle et l’information des personnes concernées ;
- Savoir identifier si une analyse d’impact (DPIA) est nécessaire ou non et dispenser des conseils pour sa conduite ;
- Savoir gérer la relation avec l’autorité de contrôle ;
- Savoir élaborer et mettre en œuvre un programme de formation et de sensibilisation.
Comment désigner votre DPO ?
Pour désigner votre DPO, plusieurs options s’offrent à vous.
Selon vos besoins, vous pouvez recruter en interne un DPO ou externaliser cette prestation à un avocat ou un conseil expérimenté.
Dans certains cas, il s’agira d’une fonction à temps plein mais pour de nombreuses entités, le DPO n’assurera qu’une fonction à temps partiel.
Il pourra en outre être mutualisé, par exemple entre les diverses filiales de votre organisme.
Conclusion : le DPO, pilier et pilote de votre conformité RGPD
Le DPO est une fonction absolument indispensable dans votre organisme. Le DPO est un facilitateur de la mise en conformité RGPD de vos activités.
Ses fonctions l’amèneront à s’appuyer sur des solutions dédiées qui prendront en charge des questions spécifiques. Vous pourrez par exemple vous appuyer sur les solutions d’Admeet pour satisfaire à vos obligations d’information et de transparence de votre site internet.
De plus, la présence d’un DPO renforce votre image et instaure un climat de confiance auprès de vos clients, qui auront la certitude que leurs données sont collectées en respectant leurs droits et de fait le RGPD.
Ne ratez pas l’évènement incontournable des acteurs de la protection des données, le Printemps des DPO qui a lieu chaque année à Paris !