Question DPO

Externaliser son DPO

ZOOM

Mission et profil du Data Protection Officer

Le RGPD/GDPR est entré en vigueur le 26 mai 2018, il prévoit la création d’un nouveau poste au sein de l’entreprise, le DPO ou Data Protection Officer. Personnage clé et stratégique, son CV s’apparente à celui d’un oiseau rare à la fois juriste, informaticien et pédagogue. D’où, la question : peut-on externaliser cette fonction ? Le Règlement ne tranche pas la question et cite simplement que « Le délégué à la protection des données peut être un membre du personnel (..), ou exerce ses missions sur la base d’un contrat de service« . Quant à la CNIL, elle rappelle avec insistance que la fonction peut être externalisée.

 

Le DPO est une personne de confiance, qui rapporte directement au chef d’entreprise et qui jouit d’une indépendance totale dans sa mission ainsi que d’une protection particulière contre le licenciement (article 38 du RGPD).

Il est chargé entre autres de :

  • Informer et conseiller le chef d’entreprise (le « Responsable du Traitement »)
  • Contrôler la bonne application du RGPD
  • Etre le contact entre l’entreprise et l’Autorité de Contrôle, la CNIL
  • Etre le point de contact avec les « Personnes concernées » (les individus dont l’entreprise collecte les données)
  • Etre consulté pour toute décision qui concerne des données privées (Cfr « Privacy By Default »)
  • Etre alerté et consulté lorsqu’une fuite de donnée est constatée
  • Réaliser les Analyses d’Impact (DPIA), déterminer les actions correctrices et en vérifier l’exécution
Sectors

DPO un poste à haute responsabilité

  • bank-notes-2448_bd66c927-7837-4dbf-bc25-d49656dfe619

    Juriste

    Compétences juridiques avec une connaissance parfaite du RGPD

  • bank-cards-2445_a1e87fce-3f73-4202-9204-4ad23d9ce522

    INFORMATICIEN

    Excellentes connaissances en informatique

  • coins-2452_3800c0d7-bb74-4470-909a-e107b62b50e6

    Cybersécurité

    Maîtrise des questions de Cybersécurité

  • pos-terminal-2470_861790a4-85dc-4da4-b645-64e5b80247d5

    Hauteur de vue

    Compréhension des enjeux commerciaux et marketing

  • deposit-box-2465_8d0edd4a-0865-4431-b57f-e857a350022b

    DIPLOMATIE

    Sens de la communication et faisant preuve de diplomatie

  • invoice-2474_16cf5270-ffa8-4c6e-b664-5b73fe167d57

    Multi taches

    Des DPO ayant une expertise poussée de l’entreprises et des rouages de celle-ci.

Benefits to bank on

Obligation d’avoir un DPO, une affaire de bon sens

Voilà bien un point qui n’est pas clair tant le Règlement et les lignes de conduite du G29 sont sujets à interprétations. Ce dont on est sûr c’est qu’il est obligatoire pour toutes les institutions publiques et dans le privé lorsque l’on a affaire à des traitements qui « exigent un suivi régulier ou systématique à grande échelle » ou lorsque le traitement concerne des données sensibles (données médicales, orientations politiques, sexuelles, etc.) ou des individus plus fragiles (enfants, salariés, etc.).

Quant à l’interprétation de « suivi régulier » et (traitement) « à grande échelle », en l’absence de clarification, autant dire qu’il sera prudent de désigner d’office un DPO dès qu’un doute subsiste. À noter d’ailleurs que le règlement encourage les entreprises à désigner un DPO sur base volontaire. Je laisse aux juristes le soin d’interpréter le RGPD et je me contenterai de donner un avis basé sur le bon sens. Dès lors si votre entreprise :

  • Traite des données sensibles (données médicales par exemple);
  • Ou procède à des profilages (recoupement de données pour en établir de nouvelles, comme définir une catégorie socio-professionnelle en fonction du quartier habité par exemple);
  • Ou traite des volumes importants (par exemple plusieurs milliers d’individus ou une majorité d’individus dans un groupe défini ou un relevé important de données par individus);
  • Ou exploite ces données régulièrement (une newsletter par mois, un système de collecte permanent et efficient, des relances régulières via call center, etc.)
  • Ou traite des données qui concernent des personnes « fragiles » (par exemple des enfants, des personnes âgées, des salariés, etc.)
  • Ou échange des données avec des organisation hors Union Européenne
  • Et sachant que cette liste n’est certainement pas exhaustive,

Alors il me semble que le bon sens et la bonne gestion imposent effectivement la nomination d’un DPO…

  • MEDICAL

    Le traitement de données médicales.

  • PROFILAGE

    Recoupement de données personnelles

  • VOLUME

    Traitement de volume important de données.

Consacrez-vous à votre métier ! Externalisez la fonction de DPO Nous contacter

Notre savoir-faire