Le règlement général sur la protection des données a été instauré le 25 mai 2018. C’est une loi importante encadrant les traitements de données des citoyens de l’UE et s’inscrivant dans la continuité de la loi informatique et libertés. Ici, nous allons parler de l’importance du DPO dans la protection des données à caractère personnel et dans la mise en conformité d’une entreprise face au RGPD.
Le délégué à la protection des données personnelles : C’est qui ?
Le DPO ou Data protection officer s’assure de la protection des données à caractère personnel au sein d’une entreprise publique ou privée. Nommer une personne en charge des données personnelles au sein d’un organisme n’est pas quelque chose de nouveau, mais n’était pas obligatoire !
Depuis le RGPD, sa nomination est obligatoire. Il est le conseiller de l’entreprise et représente l’intermédiaire avec la Cnil afin que la démarche de mise en conformité soit aboutie.
Pour éviter les amendes et les sanctions, TPE comme grandes entreprises n’hésitent pas à s’aider d’un dpo obligatoire pour respecter les devoirs de protection des personnes concernées et les lignes directrices du règlement européen. Lire cet article pour en savoir plus.
Les missions du DPO dans une entreprise
Pour être conforme au règlement sur le traitement des données personnelles, toute entreprise se doit de nommer un DPO. Pour exercer ses missions convenablement et assurer la sécurité des données, il doit :
- Conseiller et informer l’entreprise et ses employés ;
- Contrôler le respect du règlement en ce qui concerne les finalités des traitements et le respect du droit des personnes concernées ;
- Proposer d’effectuer des analyses d’impact, relatives à la protection des données ;
- Etre disponible en tout temps pour assurer la protection de la vie privée et un traitement de données respectueux des droits des personnes ;
- Garantir une coopération avec l’autorité de contrôle.
Le DPO est donc important pour une entreprise effectuant une collecte de données personnelles. Il s’assure que la démarche de conformité soit bien respectée. Pour honorer les obligations prévues par le RGPD, il est possible de s’appuyer sur un logiciel RGPD de mise en conformité.
Le caractère obligatoire du DPO
Toutes les entreprises, qu’elles soient publiques ou privées, ne sont pas forcément concernées par la nécessité de désigner un DPO. Cependant, sa présence lors d’un traitement de données à caractère personnel, est conseillé par la Commission Nationale Informatique et libertés.
L’article 37 du RGPD prévoit la nomination d’un DPO dans ces 3 cas de figure :
- Quand les traitements des données personnelles sont effectués par une autorité publique ;
- Quand les activités du responsable du traitement impliquent un suivi systématique des personnes concernées par les traitements ;
- Quand les activités des responsables de traitement et des sous-traitants impliquent un traitement à grande échelle de données sensibles ou personnelles suite à des infractions ou des condamnations.
Les diverses compétences du DPO
Le DPO doit avoir une bonne connaissance des législations ainsi que de l’organisation interne et des besoins d’une société. Aussi, il doit avoir les moyens suffisants à sa portée pour assurer sa fonction et pour garantir le respect de la loi. On doit lui permettre l’accès aux données utiles et surtout, on doit lui donner les moyens humains et matériels pour assurer la sécurisation des données.
Il faut savoir que le DPO doit agir en toute autonomie. De ce fait, il ne doit pas y avoir de conflit d’intérêt dans le cadre d’un cumul de fonction de DPO avec une autre fonction. A vous de choisir par la suite si vous voulez que le DPO soit une personne interne ou externe.
N’oubliez pas qu’il est primordial de déclarer son DPO auprès de l’autorité de contrôle compétente. En France, c’est à la CNIL que vous devez rendre des comptes.