Le DPO est l’interlocuteur interne en charge d’accompagner la mise en conformité RGPD de votre entreprise. Il a un role clé : il est un conseiller, un expert un chef de projet et point de contact avec l’autorité de régulation. Pour choisir son DPO, il vaut donc mieux rechercher un profil capable de répondre à divers types de missions.

On vous en parle dans cet article.

 

Qu’est-ce qu’un DPO ?

 

Le DPO, c’est le Délégué à la Protection des Données (Data Protection Officer).

C’est une fonction incontournable. Son rôle est d’accompagner votre entreprise dans ses démarches de mise en conformité avec le RGPD.

A ce titre, le DPO est une figure centrale, en lien avec l’ensemble des services pouvant être amenés à manipuler des données personnelles :

  • Direction marketing, direction commerciale, qu’elles adressent des publics B2C ou B2B ;
  • Directions métiers internes : DRH, direction de la paie, finances, juridique, direction de l’exploitation… ;
  • Direction technique, direction des systèmes d’information ;
  • Direction de la Communication ;
  • etc.

 

 

Quelles sont les missions du DPO ?

 

Le DPO réalise divers types de missions :

  • Informer et conseiller votre organisme ainsi que les équipes. Le DPO peut par exemple être consulté afin de savoir comment mettre vos sites web, vos applications mobiles ou vos applications informatiques en conformité avec le RGPD.
  • Contribuer à diffuser une culture informatique et libertés dans l’entreprise. Le DPO contribue à former le personnel aux obligations à respecter. Plus globalement, le DPO accompagne la conduite du changement quant à la manière d’exploiter des données personnelles.
  • Contrôler le respect des obligations légales en matière de protection des données personnelles. Ceci passe notamment par la conduite d’audits voire de contrôles fictifs au sein de l’entreprise.
  • Recommander lorsque nécessaire la réalisation d’une analyse d’impact relative à la protection des données (DPIA) et s’assurer de son exécution.
  • Coopérer avec l’autorité de régulation. Le DPO sera par ailleurs son point de contact référent, notamment à l’occasion de contrôles ou de demandes d’observations.

Accompagner les démarches de mise en conformité de votre entreprise, de e-commerce par exemple, implique que le DPO :

  • Aide votre organisme à cartographier les traitements de données personnelles en place ;
  • Priorise les actions à mener en matière de protection des données ;
  • Organise les procédures internes rendues nécessaires par le RGPD (notification des violations de données ; prise en compte des demandes d’exercices de droits…) ;
  • Documente la conformité de votre organisme.

 

 

Quelle est la responsabilité du DPO ?

 

Le DPO n’est jamais le responsable du traitement des données. Son rôle est plutôt celui d’un conseiller et d’un contrôleur.

En premier lieu, la responsabilité du traitement est assumée par votre organisme :

  • pour les traitements mis en œuvre en interne par vos diverses directions et services ;
  • pour les manipulations de données effectuées par des sous-traitants pour le compte de votre organisme.

Cette responsabilité ne se délègue pas au DPO. Cela veut dire que le responsable légal de votre organisme assume toute conséquence liée au non-respect des obligations légales.

Dans ce contexte, le DPO aide notamment à maîtriser ce risque conformité en transmettant un plan d’actions prioritaires à conduire, en effectuant des recommandations et des alertes diverses. Que le Délégué soit suivi ou pas, le responsable légal de l’organisme devra assumer pleinement toute conséquence en cas de contrôle de la CNIL ou de l’autorité de régulation concernée.

De la même manière, lorsque vous externalisez une prestation de services à un sous-traitant, vous ne déléguez jamais la responsabilité qui découle de la manipulation des données réalisée pour votre compte.

 

 

Quelles sont les compétences du DPO ?

 

En octobre 2018, la CNIL a publié un référentiel de certification des compétences du DPO.

Ce document sera pour vous d’une aide précieuse pour bien choisir votre DPO. Il vous faut un professionnel capable de s’intégrer dans la culture de votre entreprise, d’en comprendre les activités pour les accompagner au mieux.

Les DPO peuvent venir d’horizon divers :

  • de milieux juridiques ;
  • de directions techniques ;
  • d’autres horizons.

 

Quelles sont les compétences identifiées par la CNIL dans son référentiel ?

 

  • Connaître et être capable de comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité ;
  • Savoir identifier la base légale d’un traitement ;
  • Savoir déterminer les mesures permettant d’informer correctement les personnes dont les données sont traitées ;
  • Savoir établir des procédures internes et gérer des demandes d’exercice de droit ;
  • Connaître les obligations du sous-traitant ;
  • Savoir identifier et sécuriser les transferts de données hors Union Européenne ;
  • Savoir élaborer et mettre en œuvre une politique interne de protection des données ;
  • Savoir conduire des audits ;
  • Savoir gérer un registre des activités de traitements, documenter des violations de données et documenter la conformité globale de l’organisme ;
  • Savoir identifier les mesures de privacy by design et de privacy by default à mettre en place ;
  • Contribuer à la détermination des mesures de sécurité à mettre en place ;
  • Savoir déterminer si une violation de données nécessite une notification à l’autorité de contrôle et l’information des personnes concernées ;
  • Savoir identifier si une analyse d’impact (DPIA) est nécessaire ou non et dispenser des conseils pour sa conduite ;
  • Savoir gérer la relation avec l’autorité de contrôle ;
  • Savoir élaborer et mettre en œuvre un programme de formation et de sensibilisation.

 

 

Comment désigner votre DPO ?

 

Pour désigner votre DPO, plusieurs options s’offrent à vous.

Selon vos besoins, vous pouvez recruter en interne un DPO ou externaliser cette prestation à un avocat ou un conseil expérimenté.

Dans certains cas, il s’agira d’une fonction à temps plein mais pour de nombreuses entités, le DPO n’assurera qu’une fonction à temps partiel.

Il pourra en outre être mutualisé, par exemple entre les diverses filiales de votre organisme.

 

 

Conclusion : le DPO, pilier et pilote de votre conformité RGPD

 

Le DPO est une fonction absolument indispensable dans votre organisme. Le DPO est un facilitateur de la mise en conformité RGPD de vos activités. 

Ses fonctions l’amèneront à s’appuyer sur des solutions dédiées qui prendront en charge des questions spécifiques. Vous pourrez par exemple vous appuyer sur les solutions d’Admeet pour satisfaire à vos obligations d’information et de transparence de votre site internet.

De plus, la présence d’un DPO renforce votre image et instaure un climat de confiance auprès de vos clients, qui auront la certitude que leurs données sont collectées en respectant leurs droits et de fait le RGPD.

 

Vous êtes une entité publique ou privée ? Vous avez des questions sur la fonction de DPO ?