Vue d'ensemble

RGPD : qui a besoin d’un DPO ?

En principe, le RGPD s’applique à toutes les entreprises mais pas de la même façon. Pour mettre en oeuvre cette nouvelle réglementation, il a été pensé une fonction spéciale : le « Data Protection Officer », appelé en français « Délégué à la protection des données ». À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles.
Selon la présidente de la CNIL, 80000 structures auraient besoin de recruter un DPO.

Pour qui le DPO est-il obligatoire ?

Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire :

D’un côté, les organismes et les entreprises publiques, et de l’autre les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.

Plus exactement, selon l’article 37 du RGPD, il est nécessaire de recruter un DPO dans les cas suivants :

  • lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
  • lorsqu’il s’agit d’un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

RGPD / DPO

La RGPD et le DPO : vers une nomination quasi-obligatoire

 Il n’existe pas de seuil (chiffres d’affaires, nombre de salariés, secteurs d’activité) permettant de savoir clairement quelle entité est dans l’obligation de nommer un DPO.

Au plus tard le 25 mai 2018, l’article 37 du RGPD impose aux responsables du traitement et aux sous-traitants de désigner obligatoirement un DPO lorsque :

– le traitement est effectué par une autorité ou un organisme public (sauf fonction juridictionnelle) ;

– le traitement à caractère personnel implique un suivi régulier, systématique et à une échelle importante ;

– les activités consistent en un traitement à grande échelle de données sensibles (origine, génétique…) ou de données relatives à des condamnations pénales et à des infractions.

Mais qu’en est-il de la définition du  » traitement à grande échelle  » ? Le G29 recommande de tenir compte de la quantité de données traitées, de la durée de conservation et de son étendue géographique, ce qui peut concerner les grandes entreprises, comme les PME ou TPE.

 

Secteurs concernés

C’est LA nouveauté du RGPD : la nomination d’un DPO ! Rassurez-vous, sa nomination n’est pas obligatoire dans toutes les entreprises. Mais si vous cochez une de ces trois cases, dépêchez-vous de recruter :

> Être une autorité ou un organisme public ;

> Avoir une activité nécessitant un suivi régulier et systématique des personnes à grande échelle ;

> Traiter de données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou religieuses, à la santé, vie sexuelle etc.

Pas de DPO ?

Pas concerné ? Le RGPD s’applique tout de même

Si la gestion des données personnelles au sein de votre entreprise ne relève pas de ces spécificités, dans ce cas, vous n’êtes peut-être pas tenu d’embaucher un DPO. Cela ne veut pas dire pour autant que vous échappez à la réglementation du RGPD. Il vous faut donc, bon gré mal gré, mettre en œuvre les applications du règlement, et ce même si vous ne disposez pas forcément des compétences au sein de votre structure.

Vous n’avez pas donc pas besoin de disposer d’un DPO en interne, mais il est tout de même nécessaire de désigner un pilote pour la gestion des données personnelles au sein de votre entreprise. Ceci dit, il peut s’agir de l’un de vos collaborateurs si vous pensez que ce dernier est à même d’effectuer cette tâche avec efficacité, ou bien il peut s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / ou d’un cabinet d’avocats pour la gestion juridique.

Chez DPO PARTAGE, nous proposons :

  • la réalisation d’audits de conformité pour vous permettre d’évaluer les mesures concrètes à appliquer au sein de votre entreprise pour respecter le RGPD,
  • un accompagnement sur la mise en place des différentes actions préconisées.

Nous proposons 2 types d’audit de conformité afin de répondre aux besoins des structures pour lesquelles le RGPD et sa mise en application n’est pas critique, mais également pour les structures qui ont besoin d’un accompagnement plus pointu. Pour en savoir plus, rendez-vous sur notre page audits de conformité.

Enfin, sachez que pour respecter la réglementation du RGPD, il vous faut également :
cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements
– au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
– travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
documenter toutes ces actions de façon à être à même de prouver aux organismes régulateurs que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement.