DÉLÉGUÉ À LA PROTECTION DES DONNÉES
(DPD ou DPO)

Depuis l’apparition du RGPD (règlement général sur la protection des données) en 2018, chaque structure dont l’activité implique un traitement de données personnelles (ou des données sensibles, ou des données de suivis de personnes) doit obligatoirement désigner un délégué à la protection des données (DPD).
Le délégué à la protection de données aussi appelé DPO (Data Protection Officer en anglais) occupe un rôle clé dans le système de gouvernance des données personnelles.

En novembre 2021, en France, la CNIL estime qu’il y a près de 30 000 personnes (morales et physiques confondues) qui exercent cette fonction. Les secteurs les plus représentés étant : la santé, l’administration publique, l’enseignement.

La CNIL a publié un guide pratique sur les DPO pour accompagner les organismes à mettre en place cet acteur au sein de leur structure. Ce guide est composé de quatre parties qui concerne le DPO : son rôle, sa désignation, l’exercice de sa fonction et enfin les différentes façons pour la CNIL de l’accompagner.

QUI PEUT DEVENIR DPO ?

Dans le domaine du digital, aussi bien pour les annonceurs, les éditeurs que les agences, la gestion des données personnelles est un enjeu majeur. Le respect de la règlementation est une obligation majeure au sein des structures sous peine de sanction pécuniaires d’amende et de nombreuses restrictions possibles.

Pour qu’un organisme désigne son délégué à la protection de données, ce dernier doit correspondre aux critères suivants :

  • Expert juridique et technique en ce qui concerne la protection des données.
  • Connaissance juridictionnelle notamment les règles et procédures administratives applicables (engagé par une autorité ou organisme public)
  • Connaissance dans le secteur de sa structure : l’organisation de l’organisme, son secteur d’activité, et la règlementation sectorielle
  • Compréhension de l’organisation des traitements des données, des systèmes d’information et des besoins spécifiques pour l’organisme concernant la protection et la sécurité des données.

La CNIL souligne aussi que la fonction du DPO doit effectuer ses missions en toute indépendance et ne doit pas se trouver en conflit d’intérêts avec ses autres missions.

CONSEILLER ET ACCOMPAGNER L’ORGANISME

  • Le DPO apporte son expertise pour assurer la conformité des traitements ;
  • Il sensibilise à cette culture et diffuse les règles de la protection des données aux personnes qui traitent ces données au sein de la structure.

CONTRÔLER L’EFFECTIVITÉ DES RÈGLES

Le DPD s’assure du respect du RGPD. Il prépare des audits externes ou des relais internes pour vérifier que les process sont conformes à la règlementation. Elle peut aussi être en collaboration avec des acteurs clefs telles que le Responsable de la sécurité des systèmes d’information. Par la suite, un plan d’action correctives et évolutives sont mis en place.

ÊTRE LE POINT DE CONTACT DE L’ORGANISME SUR LES SUJETS RGPD

  • Point de contact avec la CNIL : Le DPO joue le rôle de « facilitateur » dans les échanges avec la CNIL. Il est celui qui coopère avec elle en cas de demande de contrôle. Il est d’ailleurs celui qui la consulte pour toutes questions liées à la protection des données personnelles ou à sa fonction.
  • Point de contact avec les personnes dont les données personnelles sont traitées par l’organisme. Le DPO traite les demandes d’exercice de droits (accès, modification, suppression des données).

ASSURER LA DOCUMENTATION DES TRAITEMENTS DES DONNÉES

La documentation est l’outil le plus pertinent pour le DPO. Elle permet de sensibiliser, transmettre, et de responsabiliser au RGPD.

EN PRATIQUE : SE PRÉPARER EN 6 ÉTAPES

Pour aider les structures dans leur mise en conformité, la CNIL a créer un guide pour les aider dans leur démarche.

Dans leur guide, le chemin pour se préparer est en 6 étapes :

  • Désigner un pilote

  • Cartographier les traitements de données personnelles

  • Prioriser les actions

  • Gérer les risques

  • Organiser les processus internes

  • Documenter la conformité

Pour plus de détails, vous pouvez retrouver le guide ici.

Vous aurez donc compris que le DPO a un rôle essentiel pour une structure. Êtes-vous conforme ?

BESOIN D’UNE CONSULTATION RGPD ?