5 octobre 2022
Dpo obligatoire

La nomination d’un DPO au sein de votre entreprise est-elle obligatoire ?

Le Data Protection Officer ou DPO est le Délégué à la Protection des Données. Il est nommé au sein des entreprises qui réalisent des opérations de traitement d’informations personnelles. C’est le point de contact de l’autorité de contrôle française (CNIL) en cas de violation de données. Est-ce que sa nomination est obligatoire dans les organismes publics et privés ? Le point dans cet article.

 

Dpo obligatoire : en quoi consiste le métier de DPO ?

 

Le DPO est le chef d’orchestre dans une démarche de conformité. C’est le nouveau Correspondant Informatique et Liberté. Ainsi, cette fonction n’est pas nouvelle. Toutefois, elle est plus réglementée. Seule une personne disposant d’une bonne connaissance du RGPD et d’autres compétences techniques peut l’exercer. Vous pouvez lire cet article pour en savoir plus sur le dpo obligatoire. Le DPO est le principal interlocuteur pour toute question liée à la protection des données à caractère personnel. De ce fait, il est chargé de gérer les demandes d’exercice des droits des personnes concernées. Il faut noter que sa nomination ne relève pas d’une obligation. Toutefois, elle reste conseillée pour éviter les sanctions pécuniaires.

 

Les missions du DPO

 

Le DPO est chargé de veiller à la conformité de l’entreprise. Pour cela, il doit :

  • contrôler le respect du RGPD : garantir la protection des droits et libertés des utilisateurs ;
  • conseiller le responsable de traitement au sein de l’entité dans laquelle il exerce ses fonctions. Il guide tous les acteurs dans l’application des mesures techniques et organisationnelles qui s’imposent ;
  • proposer la réalisation d’une analyse d’impact dans le cas où des données sensibles doivent être collectées ;
  • se tenir à disposition pour répondre aux requêtes des personnes concernées ;
  • coopérer avec la CNIL ;
  • organiser les processus internes liés à la gestion des traitements de données personnelles ;
  • aider à la cartographie des traitements ;
  • prioriser les actions à mener ;
  • documenter les traitements pour pouvoir démontrer la conformité plus facilement en cas de contrôle.

 

L’obligation de nommer un DPO

 

La nomination d’un DPO est uniquement obligatoire dans les cas suivants selon l’article 37 du RGPD :

 

1er cas

Le traitement de données est réalisé par un organisme public ou une autorité. Cela exclut les juridictions qui agissent dans l’exercice de leur fonction.

 

2ème cas

Les principales activités du responsable de traitement et des sous-traitants nécessitent un suivi systématique et régulier à grande échelle des individus concernés par les opérations de traitement (échanges bancaires, vidéosurveillance, géolocalisation…).

 

3ème cas

Les données traitées sont à caractère sensible comme les données de santé et les données biométriques. Elles peuvent aussi être associées à des infractions ou des condamnations pénales.

 

La recommandation de la CNIL

Lorsque la CNIL contrôle un organisme, ce dernier devra être en mesure d’expliquer pourquoi il n’a pas nommé un DPO. Ainsi, il doit avancer des arguments convaincants. C’est pourquoi nommer un DPO est toujours conseillé. Il sera l’organe de contact de la CNIL.

 

Une activité de base incluant le traitement des données à grande échelle

 

Pour que la nomination d’un DPO soit rendue obligatoire, les activités de base des acteurs doivent inclure des opérations de traitement à grande échelle.

 

L’activité de base

D’après le RGPD, une activité de base est une activité principale excluant les traitements de données personnelles additionnelles. C’est une opération indispensable à l’atteinte des objectifs des responsables de traitement et des sous-traitants. Par exemple, à l’hôpital, les professionnels de santé doivent traiter des données spécifiques pour pouvoir fournir des soins aux patients.

 

Le traitement de données à grande échelle

Le RGPD ne donne pas d’indication précise concernant le traitement de données à grande échelle. Quoi qu’il en soit, les facteurs suivants doivent être pris en compte selon les autorités :

  • le volume de données traitées ;
  • le nombre de personnes concernées ;
  • la durée de l’activité de traitement ;
  • la dimension géographique de l’activité de transformation.

Voici quelques exemples de traitements à grande échelle :

  • les données de voyage des personnes qui se servent du système de transport public d’une ville ;
  • les données des patients dans le cadre des activités d’un hôpital ;
  • les données personnelles utilisées par un moteur de recherche à des fins publicitaires.

 

Les compétences et qualités requises pour être DPO

 

Comme énoncé plus haut, un DPO est un professionnel qui doit posséder de nombreuses compétences et qualifications. Voici les conditions à remplir pour pouvoir exercer ce métier :

  • disposer de connaissances sur les législations, les données collectées et les systèmes d’information. Suivre des formations est aussi indispensable pour rester performant dans l’exercice des fonctions ;
  • agir en toute transparence et objectivité (il ne doit pas y avoir de conflit d’intérêts avec une autre entreprise). Il faut noter qu’en cas de non-conformité avec le RGPD, le DPO ne peut en être tenu responsable ;
  • oser signaler les écarts et les violations aux autorités de contrôle ;
  • instaurer une relation de confiance avec les employés et les clients de l’entreprise. Pour cela, il doit avoir des compétences en gestion ;
  • disposer de tous les moyens pour accomplir ses missions (être disponible, connaître les informations utiles, mobiliser les moyens matériels et humains requis…).

Le dpo obligatoire peut être nommé en interne. Dans ce cas, l’entreprise doit le former pour qu’il puisse réaliser ses tâches correctement. Sinon, il est également possible de faire appel à un consultant. Ce second choix se révèle plus avantageux, car il permet de profiter des compétences d’un spécialiste tout en évitant les contraintes liées à l’embauche d’un salarié. En effet, dans le cas où le travail du prestataire externe ne vous satisfait pas, vous pourrez facilement le remplacer.

 

Comment choisir un DPO ?

 

Plusieurs critères doivent être pris en compte au moment de choisir un DPO.

 

La formation

Tout d’abord, il est important de se renseigner sur la formation que le candidat a suivie. Il vaut mieux choisir une personne qui a suivi une formation initiale en droit avec une spécialisation en droit des nouvelles technologies. Une formation au métier de DPO serait aussi un atout. Grâce à cette dernière, le candidat aura plus de connaissances en matière de protection des données personnelles. Enfin, il devra bien connaître les activités de l’entreprise dans lequel il compte travailler.

 

La localisation

Pour faciliter les échanges et pour plus de praticité, il est préférable d’engager une personne résidant dans l’Union Européenne. Si l’entreprise concernée n’est pas établie sur le territoire européen, elle peut solliciter un DPO issu d’un pays en-dehors de l’Europe. Toutefois, l’efficacité du travail doit toujours primer.

 

La période

Pour nommer un DPO, il convient de remplir un formulaire. Il est disponible sur le site de la CNIL comme il l’était déjà à l’époque de la Loi Informatique et Libertés. Pour conclure, la nomination d’un DPO obligatoire est vivement recommandée par la CNIL, car c’est le meilleur moyen de garantir la protection de la vie privée des personnes concernées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.