DPO

LE DPO, GARANT DU RGPD

La fonction de DPO a été encadrée, mais aussi créée, par la Commission européenne lorsqu’elle a voté le RGPD. Ainsi, la présence dans l’entreprise d’un Data Protection Officer est obligatoire dans certains cas. Lesquels ? Réponse tout de suite !

Le DPO, obligatoire dès lors qu’un certain volume de données est traité

Chargé de mettre en œuvre la conformité au Règlement européen sur la protection des données (RGPD) au sein de l’organisme qui l’a désigné, le DPO constitue un nouveau profil dans l’entreprise, pas si éloigné que ça du CIL — mais aussi très différent de lui, nous en reparlerons. Sa désignation est obligatoire pour :

  • Les autorités ou les organismes publics (les administrations, les ministères…) ;
  • Les organismes dont les activités imposent de réaliser un suivi “régulier et systématique”, à

    grande échelle, des personnes (ici, on parle bien sûr des entreprises) ;

• Les organismes dont les activités de base les amènent à traiter à grande échelle des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé,
à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou en lien avec des condamnations pénales et/ou des infractions.

Obligatoire, mais aussi fortement recommandé !

L’Union européenne aurait pu décider que le DPO était obligatoire “à partir de X salariés dans l’entreprise”, “dès lors que des données sont exploitées”, ou encore “à partir de X millions de chiffre d’affaires”. Elle n’en a rien fait, et pour plusieurs raisons. D’une part, de tels seuils n’auraient pas placé le traitement des données — et le fait qu’elles soient collectées — au cœur des préoccupations. Ensuite, cela aurait forcément créé des inégalités. Enfin, les entreprises situées en dessous de ces seuils classiques auraient pu échapper à la nomination d’un DPO… alors que cela ne les empêche pas de mettre en oeuvre le RGPD !

Reste que les critères pour la désignation d’un DPO sont assez vagues et sujets à interprétation. Où commence, par exemple, le suivi “régulier et systématique” ? À partir de quel volume de données estime- t-on que l’on se trouve face à un traitement “à grande échelle” des données ? Les réponses à ces questions ont été apportées en avril 2017 :

• Un suivi régulier est un suivi continu ou ponctuel, récurrent ou itératif, en cours ou se produisant pendant des périodes données ;

• Un suivi systématique est un suivi prévu, organisé ou méthodique, causé par un système, ou intégré à un plan général de récupération de données ou à une stratégie globale.

• Quant à la “grande échelle”… elle dépendra du nombre de personnes concernées, du volume des données, de la durée de l’activité de traitement et de son périmètre géographique.

C’est pourquoi, en dehors des cas de désignation obligatoire et évident, la désignation d’un responsable de la protection des données est fortement encouragée par les membres de l’Union européenne. Même s’il n’a pas le titre de DPO, il devra être en mesure d’identifier et de coordonner les actions à mener en matière de protection des données personnelles.

DPO interne ou externe ?

Reste une question : le DPO doit-il impérativement être interne à l’entreprise ? Sur ce point, le RGPD est très clair. Le Délégué à la protection des données peut être interne, comme externe. Il peut même être mutualisé au sein d’un groupe d’entreprises, à plusieurs conditions :

• Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;

• Il ne doit pas y avoir de conflit d’intérêts ;

• Il doit être joignable facilement à partir de chaque lieu d’établissement.

Vous êtes dans l’un des cas où le DPO est obligatoire ? Ne voyez pas cela comme une contrainte mais, au contraire, comme une chance d’optimiser vos process et le traitement de vos données !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *