Ce site utilise des cookies en vue d'améliorer votre expérience en ligne. En poursuivant votre navigation, vous acceptez que les cookies soient utilisés à des fins d'analyse, de pertinence et de publicité. En savoir plus

Le délégué à la Protection des données (DPO) : le gardien de la conformité

Le RGDP instaure une nouvelle obligation pour certaines entreprises et leurs sous-traitants : la nomination d’un Délégué à la Protection des données ou Data Protection Officer, qui doit être associé à toutes les questions d’exploitation et de protection des données à caractère personnel.

Les organismes concernés sont :

  • Tous les organismes publics, à l’exception des juridictions, quels que soient les traitements de données personnelles mis en œuvre
  • Les organismes dont les activités de base les conduisent à effectuer un suivi  » régulier et systématique  » à grande échelle sur des données personnelles
  • Les organismes dont les activités de base les conduisent à traiter, à grande échelle, des données personnelles considérées comme sensibles (par exemple des données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Le G29, qui regroupe l’ensemble des  » CNIL  » européennes et sera remplacé, à compter de mai 2018, par le contrôleur européen de la protection des données, a précisé dans différentes publications les notions de  » suivi régulier et systématique « , ainsi que de  » grande échelle « . Il recommande en outre à tout organisme qui n’entrerait pas dans ces critères de désigner volontairement un DPO.

 

 

A lire également : 80 000 postes de DPO ont été créés en France en 2018

Le rôle du DPO

Le DPO est, selon les recommandations du RGPD/GDPR, un chef d’orchestre pour tout ce qui concerne l’exploitation, la gestion et la protection de données à caractère personnel. Parmi ses attributions : il doit informer et conseiller les responsables des traitements et éventuellement leurs sous-traitants, mais également tous les employés de l’entreprise. Il succède au CIL (Correspondant Informatique et Liberté) en France, et dispose d’un statut équivalent. Mais ses missions et prérogatives sont renforcées, notamment son rôle de conseil et de contrôle.

Gardien de la conformité (assujetti à une exigence de formation et d’information régulières sur les évolutions réglementaires), le DPO a pour mission de recenser l’ensemble des traitements de l’entreprise mettant en jeu des données personnelles, et d’en évaluer toutes les éventuelles conséquences sur le respect de la vie privée, en collaboration avec la Direction générale. Soumis à une obligation de confidentialité, il doit être sollicité par le responsable du traitement pour évaluer la nécessité de réaliser une analyse d’impact, choisir la méthodologie la mieux adaptée et développer les garanties à appliquer pour prévenir toute atteinte au respect de la vie privée des personnes concernées.

La responsabilité de la conformité du traitement reste à la charge du responsable du traitement ou du sous-traitant. Le G29 insiste sur l’importance de documenter l’ensemble du traitement à des fins de traçabilité. Le responsable du traitement doit ainsi justifier les raisons qui l’auraient conduit à ne pas suivre les conseils du DPO.

Enfin, toute activité pouvant avoir des conséquences sur la protection de données personnelles devra faire l’objet d’une étude d’impact sur la vie privée. L’entreprise devra prévoir également des mesures pour atténuer les éventuelles conséquences des dommages sur la protection des données personnelles causés par l’activité. Le DPO est tenu de consulter l’autorité de contrôle, avant la mise en œuvre de l’activité.

A lire également pour aller plus loin : Découvrez les coulisses du métier de DPO

Besoin d’accompagnement dans votre projet de mise en conformité ?

Télécharger notre livre blanc  

Une question ?
Retour en haut de page

Incollable sur la transformation numérique ?

Abonnez-vous à nos newsletters