La fonction de DPO a été encadrée, mais aussi créée, par la Commission européenne lorsqu’elle a voté le RGPD. Ainsi, la présence dans l’entreprise d’un Data Protection Officer est obligatoire dans certains cas. Lesquels ? Réponse tout de suite !
Le DPO, obligatoire dès lors qu’un certain volume de données est traité
Chargé de mettre en œuvre la conformité au Règlement européen sur la protection des données (RGPD) au sein de l’organisme qui l’a désigné, le DPO constitue un nouveau profil dans l’entreprise, pas si éloigné que ça du CIL — mais aussi très différent de lui, nous en reparlerons. Sa désignation est obligatoire pour :
- Les autorités ou les organismes publics (les administrations, les ministères…) ;
- Les organismes dont les activités imposent de réaliser un suivi “régulier et systématique”, à
grande échelle, des personnes (ici, on parle bien sûr des entreprises) ;
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé,
à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou en lien avec des condamnations pénales et/ou des infractions.
Obligatoire, mais aussi fortement recommandé : LE DPO GARANT DU RGPD
L’Union européenne aurait pu décider que le DPO était obligatoire “à partir de X salariés dans l’entreprise”, “dès lors que des données sont exploitées”, ou encore “à partir de X millions de chiffre d’affaires”. Elle n’en a rien fait, et pour plusieurs raisons. D’une part, de tels seuils n’auraient pas placé le traitement des données — et le fait qu’elles soient collectées — au cœur des préoccupations. Ensuite, cela aurait forcément créé des inégalités. Enfin, les entreprises situées en dessous de ces seuils classiques auraient pu échapper à la nomination d’un DPO… alors que cela ne les empêche pas de mettre en oeuvre le RGPD !
Reste que les critères pour la désignation d’un DPO sont assez vagues et sujets à interprétation. Où commence, par exemple, le suivi “régulier et systématique” ? À partir de quel volume de données estime- t-on que l’on se trouve face à un traitement “à grande échelle” des données ? Les réponses à ces questions ont été apportées en avril 2017 :
• Un suivi régulier est un suivi continu ou ponctuel, récurrent ou itératif, en cours ou se produisant pendant des périodes données ;
• Un suivi systématique est un suivi prévu, organisé ou méthodique, causé par un système, ou intégré à un plan général de récupération de données ou à une stratégie globale.
• Quant à la “grande échelle”… elle dépendra du nombre de personnes concernées, du volume des données, de la durée de l’activité de traitement et de son périmètre géographique.
C’est pourquoi, en dehors des cas de désignation obligatoire et évident, la désignation d’un responsable de la protection des données est fortement encouragée par les membres de l’Union européenne. Même s’il n’a pas le titre de DPO, il devra être en mesure d’identifier et de coordonner les actions à mener en matière de protection des données personnelles.
DPO interne ou externe ? LE DPO GARANT DU RGPD
Le DPO (Délégué à la protection des données) peut être interne ou externe à l’entreprise. Un DPO interne est un employé de l’entreprise qui est responsable de la protection des données personnelles. Un DPO externe, en revanche, est un prestataire de services extérieur qui travaille pour plusieurs entreprises.
Le rôle du DPO est de garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données), une réglementation de l’Union européenne qui fixe les règles pour la protection des données personnelles des citoyens de l’UE. Le DPO doit également informer et conseiller l’entreprise sur les obligations en matière de protection des données, sensibiliser les employés et surveiller la conformité de l’entreprise aux réglementations en vigueur.
• Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
• Il ne doit pas y avoir de conflit d’intérêts ;
• Il doit être joignable facilement à partir de chaque lieu d’établissement.
Vous êtes dans l’un des cas où le DPO est obligatoire ? Ne voyez pas cela comme une contrainte mais, au contraire, comme une chance d’optimiser vos process et le traitement de vos données !
La mission d’un DPO externe est similaire à celle d’un DPO interne, à savoir :
-
Garantir la conformité de l’entreprise au RGPD (Règlement général sur la protection des données) et à toute autre réglementation applicable en matière de protection des données personnelles.
-
Informer et conseiller l’entreprise sur les obligations en matière de protection des données.
-
Sensibiliser les employés de l’entreprise aux bonnes pratiques de protection des données personnelles.
-
Surveiller la conformité de l’entreprise aux réglementations en vigueur.
-
Assister l’entreprise en cas de contrôle de l’autorité de protection des données ou de réclamation d’un titulaire de données.
En tant que prestataire de services externe, le DPO peut également offrir ses services à plusieurs entreprises, ce qui lui permet de développer une expertise approfondie en matière de protection des données personnelles et de garantir une conformité efficace à la réglementation.
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou le Formulaire de contact
Nos liens :
RGPD : Quel cadre appliquer aux dossiers des patients ?(S’ouvre dans un nouvel onglet)
La mission du DPO : le respect du RGPD(S’ouvre dans un nouvel onglet)
Comments 1