DPO ou délégué à la protection des données : rôle, compétence, nomination

Qu’est-ce qu’un DPO ou délégué à la protection des données ?🤔

Un DPO ou délégué à la protection des données assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. 🚀

On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. Exemple : inscription à une newsletter via email ✉

Le RGPD a pour objectif d’encadrer les pratiques pour assurer le respect des données personnelles des citoyens.

Le DPO (ou DPD) est apparu avec le RGPD en 2018. Son rôle, ses compétences, obligations ont été façonnés par le RGPD. 📜

Quel est le rôle du délégué à la protection des données ?🔒

🎯 Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :

1. Conseiller et accompagner : apport d’expertise et diffusion de la culture et du respect des règles RGPD📜
2. Contrôle : Le DPO peut vérifier personnellement ou mandater un audit externe pour s’assurer du respect des règles. ⚖
3. Point de contact de l’organisme pour tous les sujets de protection des données personnelles :

• Avec la CNIL :
  • Il facilite les échanges avec la CNIL et peut l’interroger la sur une question. La CNIL refusera de répondre à un responsable de traitement qui n’aura pas consulté auparavant son DPO. Il sera le point de contact principal lors d’un contrôle ou une plainte mais ne pourra pas représenter seul l’organisme.
• Avec les personnes dont les données personnelles sont traitées :
  • Il prend en charge les différentes demandes. Il peut s’agir de demandes de droit d’accès mais également pour tout autre question au sujet de leurs données.

4. Le DPO assure la documentation des traitements des données 📊

La documentation est un pilier du RGPD permettant notamment d’être en capacité de respecter les règles et de le prouver en cas de contrôle. Il s’agit du principe d’ « accountability ».🚀

De nombreux éléments doivent donc être intégrés dans la documentation, notamment : le registre des traitements,  registre des violations de données, les mentions d’informations, les contrats de sous-traitance…

Le DPO s’assure de la tenue de cette documentation qui a pour objectif principal de piloter la conformité. 🎯

La nomination d’un DPO est-elle obligatoire ?

La désignation d’un délégué à la protection des données est obligatoire pour :

• les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
• des organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

📄 La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.

Délégué à la protection des données : interne ou externe ?👀

Interne

Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme. 🏢

Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement ou type de traitement. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO.

Externe

Le DPO peut être mutualisé entre plusieurs organisme ou dit « Externe ». Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.

💼 Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO. Attention toutefois, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.

Mutualisé

Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités. 📚

Quelles compétences et certifications sont nécessaires pour devenir délégué à la protection des données ?💼

Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :

• Expertise juridique et technique sur la protection des données
• Connaissance du secteur d’activité de l’organisme, de la réglementation du secteur et l’organisme lui-même
• Les opérations de traitement, les systèmes d’information et les besoins de l’organisme en matière de protection et de sécurité des données

🗒 Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.

Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique.

Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre. ⭐

🔑 Il est clé pour une entreprise que son DPO ait également une grande ouverture au business.

En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !

Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un « blocage » RGPD. Il convient d’être vigilant sur ce point.

🔎 Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.

 Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO : l’Afnor, CESI certification, Apave certification,  iapp, lsti, LCP, SGS, Bureau Veritas et PECB.

Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externalisé.🚀

Quelles sont les responsabilités du délégué à la protection des données ?🔑

🏹 Le DPO n’est pas responsable du non-respect du RGPD au sein de l’organisme qui l’a désigné. C’est le responsable du traitement qui est responsable. Au même titre, le sous-traitant est responsable du respect de ses obligations vis-à-vis du RGPD.

Toutefois, il peut voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales ou en tant que complice s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales. ❌

Le DPO est soumis au secret professionnel ou à une obligation de confidentialité. Cela doit être inscrit dans son contrat ou dans le contrat de prestation de service.

Désignation du DPO 🏆

Le choix du DPO doit tenir compte de l’ensemble des points mentionnés précédemment pour qu’il puisse remplir son rôle à 100%.

⭐ Pour la réussite de ses missions, il est important de formaliser les activités du délégué à la protection des données dans une lettre de mission pour un DPO interne ou un contrat de prestation de service dans le cadre d’un DPO externe.

Une communication doit être effectuée au sein de l’organisme pour informer de la nomination (email, intranet, affichage…). Chaque employé/membre doit comprendre le rôle du DPO et être conscient qu’une politique sur le sujet est en place. Il doit également être identifié et joignable. 💻

Le DPO doit être nommé auprès de la CNIL via l’espace dédié « désignation en ligne » de la CNIL si l’organisme se trouve en France sinon auprès de l’organisme de contrôle compétent. La liste des DPO et l’organisme pour lequel il est rattaché est disponible sur le site de la CNIL « Organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) – data.gouv.fr« 

Télécharger le guide pratique RGPD pour les délégués à la protection des données :

Guide pratique RGPD – Délégués à la protection des données (cnil.fr)

Le service Dipeeo de mise en conformité RGPD inclut la nomination d’un DPO dédié pour chacun de nos clients, certifié Afnor et nommé auprès de la CNIL, en charge de l’ensemble de la conformité RGPD et point de contact unique sur le sujet