Obligation :
Le RGPD impose au Délégué à la Protection des Données (« DPO ») d’informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les personnes concernées, de contrôler en interne le respect des règles applicables, de conseiller sur la réalisation d’analyses d’impact, de coopérer avec l’autorité de contrôle et de faire office de point de contact pour l’autorité de contrôle et pour les personnes concernées.
Articles 37 à 39 du RGPD
A retenir :
Quand êtes-vous dans l’obligation de désigner un DPO ?
Les organismes agissants en tant que responsable du traitement et sous-traitant sont dans l’obligation de désigner un DPO lorsque :
- le traitement est effectué par une autorité publique ou un organisme public ;
- le traitement est réalisé par une entreprise privée si :
- « les activités de base du responsable du traitement ou du sous-traitant (…) consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou »
- « les activités de base (…) consistent en un traitement à grande échelle de [données sensibles] et (…) relatives à des condamnations pénales et à des infractions »
Quelles sont les missions du DPO ?
Les missions du DPO sont les suivantes :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la règlementation applicable en matière de protection des données personnelles ;
- contrôler le respect du RGPD et d’autres dispositions de la règlementation applicables en matière de protection des données personnelles et des règles internes du responsable du traitement ou du sous-traitant (ex : la répartition des responsabilités, la sensibilisation et la formation du personnel) ;
- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du RGPD ;
- coopérer avec l’autorité́ de contrôle ;
- faire office de point de contact pour l’autorité́ de contrôle et les personnes concernées sur les questions relatives au traitement.
Quelles sont les missions du DPO ?
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ci-dessus.
Le DPO doit pouvoir exercer ses missions en toute indépendance. Il ne doit pas y avoir de conflit d’intérêts car il est tenu au secret professionnel et à la confidentialité des données.
Comment désigner son DPO ?
Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.
Le DPO est officiellement nommé en interne et auprès de l’autorité de contrôle concernée (ex : la CNIL) et ses coordonnées sont publiées. Les coordonnées de tous les DPO nommés sont par exemple recensées dans un registre tenu par la CNIL.
Formulaire de désignation DPO auprès de la CNIL : https://designations.cnil.fr/dpo/designation/organisme.designant.delegue.action
Nos conseils :
- Même pour les entreprises qui n’ont pas l’obligation de désigner un DPO, une telle désignation est grandement recommandée. Le DPO contribue en effet à une meilleure organisation interne et à la réduction des risques de contentieux.
- Lorsque vous avez une petite structure, il est recommandé de faire appel à un DPO externe.
Je veux me former, afin de connaître mes obligations de DPO, que dois-je faire concrètement ?