Le Délégué à la Protection des données (DPO) est un rôle clé dans la mise en conformité d'une organisation avec le Règlement Général sur la Protection des Données (RGPD). Il est chargé de conseiller et d'assister le responsable du traitement ou le sous-traitant dans la mise en œuvre des mesures de protection des données personnelles.
Que ce soit pour une désignation d'une personne en interne ou une désignation d'un DPO externe, le choix d'un DPO est une décision importante qui doit être prise en fonction de plusieurs critères, notamment :
Néanmoins, l'article 38 du RGPD impose que le DPO ai trois caractéristiques essentielles:
1️⃣ Le/la DPO doit avoir les compétences requises.
En effet, la maîtrise des missions du DPO telles qu’elles sont décrites dans les Articles 37 à 39 du RGPD implique trois expertises complémentaires :
Une compétence juridique: Une formation en matière de protection des données personnelles est évidemment requise pour connaître les règles du Règlement Européen sur la Protection des Données (RGPD). Par ailleurs, les lignes directrices du Comité Européen de la Protection des Données (CEPD - ex Groupe29) regroupant les autorités de protection des données européennes, clarifient et illustrent le cadre juridique applicable à la fonction de délégué à la protection des données. C'est le contenu des lignes directrices
Une compétence informatique: La compréhension des flux de données personnelles est nécessaire pour réaliser les audits des données personnelles, des logiciels, des sous-traitants et des usages, une première étape indispensable dans la mission du DPO.
Dans un monde où la majorité des organismes sont digitalisés, il est indispensable de comprendre les schémas d’hébergement, l’infrastructure réseau, le fonctionnement d’internet et d’un poste de travail en bureautique.
Une compétence en conduite du changement: Le sujet n’est pas toujours facile d’accès car le DPO doit être capable de communiquer efficacement, d’animer des formations, de faire des présentations convaincantes.
En effet, l’enjeu majeur pour le DPO est d’embarquer les opérationnels qui traitent les données personnelles pour que les bonnes pratiques se fassent au quotidien.
2️⃣ Le/la DPO doit avoir les moyens suffisants
Cela implique en particulier que le DPO :
• Dispose du temps suffisant pour exercer ses missions ;
• Bénéficie de moyens matériels et humains adéquats ;
• Puisse accéder aux informations utiles ;
• Soit associé en amont aux projets impliquant des données personnelles ;
• Soit facilement joignable par les personnes concernées.
3️⃣ Le/la DPO a la capacité d’agir en toute indépendance
Cela signifie :
• Ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction. Ainsi un DPO ne peut pas être le Dirigeant de l’organisme, ni son Directeur des Ressources Humaines.
• Pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ;
• Ne pas être sanctionné pour l'exercice de ses missions de DPO
• Ne pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.
Si vous souhaitez nous faire part de votre besoin? Contactez nous ici , nous sommes désignés DPO dans plus de 50 organisations
Nos lecteurs ont consulté aussi:
Pour désigner le DPO, il suffit de se connecter au site de la CNIL sur la page suivante https://www.cnil.fr/fr/designation-dpo . La désignation est gratuite et prend 10 minutes environ .
Télécharger le Guide du DPO publié par la CNIL