Quelles sont les missions du Délégué à la Protection des Données (DPO) ?

Si la nomination d’un DPO est fortement recommandée par le contrôleur européen de la protection des données – ex-G29 qui regroupe la CNIL et ses homologues européens – elle s’avère obligatoire pour certains organismes :

• Les autorités ou les organismes publics ou assimilés*, à l’exception des juridictions, quels que soient les traitements de données personnelles mis en œuvre.^*On entend par assimilés les sociétés investies d’une mission publique tels que les transports, l’énergie, les routes etc.
• Les organismes dont les activités de base les conduisent à effectuer un suivi « régulier et systématique » à grande échelle sur des données personnelles.
• Les organismes dont les activités de base les conduisent à traiter, à grande échelle, des données personnelles considérées comme sensibles (par exemple des données génétiques, criminelles, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

En 2018 en France, 24 500 organismes ont ainsi désigné un Délégué à la Protection des Données, soit 13 000 DPO au total.

À lire également : Le nombre de DPO a explosé en France

Le profil du DPO

Interne ou externe à l’organisme, et même parfois mutualisé entre différentes organisations, le DPO est un expert dédié à l’identification et à la coordination des actions à mener en matière de protection des données personnelles garantissant la bonne conformité de l’organisme au RGPD.

Selon l’article 37.5 du règlement européen, le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». En tant que garant de la légalité, il possède donc des connaissances juridiques pointues, notamment en droit des nouvelles technologies de l’information et des télécoms, mais aussi des compétences en cybersécurité et en informatique.

Successeur du CIL (Correspondant Informatique et Liberté) en France, il dispose d’un statut équivalent. Mais ses missions et prérogatives sont renforcées, notamment son rôle de conseil et de contrôle.

À lire également pour aller plus loin : Tout sur la formation des DPO

Les missions du DPO

Selon les recommandations du RGPD/GDPR, le DPO orchestre l’exploitation, la gestion et la protection de données à caractère personnel. Son rôle : informer, sensibiliser et conseiller les responsables des traitements, leurs éventuels sous-traitants et les employés de l’entreprise qui procèdent au traitement, au regard des obligations qui leur incombent.

Gardien de la conformité (assujetti à une exigence de formation et d’information régulières sur les évolutions réglementaires), le DPO a pour missions de recenser l’ensemble des traitements de l’entreprise mettant en jeu des données personnelles, et d’en évaluer toutes les éventuelles conséquences sur le respect de la vie privée, en collaboration avec la direction générale. Soumis à une obligation de confidentialité, il évaluela nécessité de réaliser une analyse d’impact (AIPD). Si besoin, il accompagne le responsable du traitement dans le choix de la méthodologie la mieux adaptée et le développement des garanties à appliquer pour prévenir toute atteinte au respect de la vie privée des personnes concernées.

La responsabilitéde la conformité du traitement reste en revanche à la charge du responsable du traitement ou du sous-traitant. En cas de non-respect des recommandations du DPO, il incombe alors au responsable du traitement de justifier sa décision. C’est pourquoi, il est important de documenter l’ensemble du traitement à des fins de traçabilité.

Enfin, toute activité pouvant avoir des conséquences sur la protection de données personnelles doit faire l’objet d’une étude d’impact sur la vie privée et de mesures spécifiques pour limiter les éventuelles conséquences de la dite activité sur la protection des données personnelles. Le DPO doit par ailleurs consulter l’autorité de contrôle avant la mise en œuvre de cette activité.

Pour aller plus loin : RGPD : La certification de votre DPO

Besoin d’accompagnement dans votre projet de mise en conformité ?