Externaliser son DPO
ZOOM
Mission et profil du Data Protection Officer
Le RGPD/GDPR est entré en vigueur le 26 mai 2018, il prévoit la création d’un nouveau poste au sein de l’entreprise, le DPO ou Data Protection Officer. Personnage clé et stratégique, son CV s’apparente à celui d’un oiseau rare à la fois juriste, informaticien et pédagogue. D’où, la question : peut-on externaliser cette fonction ? Le Règlement ne tranche pas la question et cite simplement que « Le délégué à la protection des données peut être un membre du personnel (..), ou exerce ses missions sur la base d’un contrat de service« . Quant à la CNIL, elle rappelle avec insistance que la fonction peut être externalisée.
Le DPO est une personne de confiance, qui rapporte directement au chef d’entreprise et qui jouit d’une indépendance totale dans sa mission ainsi que d’une protection particulière contre le licenciement (article 38 du RGPD).
Il est chargé entre autres de :
- Informer et conseiller le chef d’entreprise (le « Responsable du Traitement »)
- Contrôler la bonne application du RGPD
- Etre le contact entre l’entreprise et l’Autorité de Contrôle, la CNIL
- Etre le point de contact avec les « Personnes concernées » (les individus dont l’entreprise collecte les données)
- Etre consulté pour toute décision qui concerne des données privées (Cfr « Privacy By Default »)
- Etre alerté et consulté lorsqu’une fuite de donnée est constatée
- Réaliser les Analyses d’Impact (DPIA), déterminer les actions correctrices et en vérifier l’exécution
Sectors
DPO un poste à haute responsabilité
Benefits to bank on
Obligation d’avoir un DPO, une affaire de bon sens
Voilà bien un point qui n’est pas clair tant le Règlement et les lignes de conduite du G29 sont sujets à interprétations. Ce dont on est sûr c’est qu’il est obligatoire pour toutes les institutions publiques et dans le privé lorsque l’on a affaire à des traitements qui « exigent un suivi régulier ou systématique à grande échelle » ou lorsque le traitement concerne des données sensibles (données médicales, orientations politiques, sexuelles, etc.) ou des individus plus fragiles (enfants, salariés, etc.).
Quant à l’interprétation de « suivi régulier » et (traitement) « à grande échelle », en l’absence de clarification, autant dire qu’il sera prudent de désigner d’office un DPO dès qu’un doute subsiste. À noter d’ailleurs que le règlement encourage les entreprises à désigner un DPO sur base volontaire. Je laisse aux juristes le soin d’interpréter le RGPD et je me contenterai de donner un avis basé sur le bon sens. Dès lors si votre entreprise :
- Traite des données sensibles (données médicales par exemple);
- Ou procède à des profilages (recoupement de données pour en établir de nouvelles, comme définir une catégorie socio-professionnelle en fonction du quartier habité par exemple);
- Ou traite des volumes importants (par exemple plusieurs milliers d’individus ou une majorité d’individus dans un groupe défini ou un relevé important de données par individus);
- Ou exploite ces données régulièrement (une newsletter par mois, un système de collecte permanent et efficient, des relances régulières via call center, etc.)
- Ou traite des données qui concernent des personnes « fragiles » (par exemple des enfants, des personnes âgées, des salariés, etc.)
- Ou échange des données avec des organisation hors Union Européenne
- Et sachant que cette liste n’est certainement pas exhaustive,
Alors il me semble que le bon sens et la bonne gestion imposent effectivement la nomination d’un DPO…
Consacrez-vous à votre métier ! Externalisez la fonction de DPO Nous contacter