DPO

Désignation interne, externe, mutualisée ? La nomination d’un DPO est un choix stratégique.

Le cabinet d’avocats Altij est membre de l’AFCDP et de l’AFDIT, deux associations spécialisées dans l’accompagnement des CIL et DPO. Conseiller et accompagner votre DPO est un engagement fort de notre part dans la mise en place de votre plan de mise en conformité.

Le DPO (« Data Protection Officer »), ou DPD en français (« délégué à la protection de données ») est le chef d’orchestre de la conformité des organisations.

Il a pour missions de :

  • Informer et conseiller le responsable du traitement ou sous-traitant sur les obligations qui leur incombent ;
  • Contrôler le respect du RGPD ;
  • Dispenser des conseils sur demande en ce qui concerne les analyses d’impact ;
  • Coopérer avec l’autorité de contrôle (ex. la CNIL) ;
  • Faire office de point de contact pour l’autorité de contrôle.

Le DPOfait un rapport au niveau le plus élevé de la direction de son organisation, s’assurant ainsi que le principe de la « data protection by design » est reflété dans l’organigramme même de l’entreprise.

La création de ce rôle est l’une des mesures phares du RGPD. Cependant, la désignation d’un DPO n’est pas obligatoire pour chaque organisation, mais uniquement pour :

Les autorités ou organismes publics (Ex. Mairie).
Le G29 recommande aussi la nomination d’un DPO par les acteurs du secteur privé exerçant des fonctions publics (ex. fournisseurs d’eau, d’électricité, organes professionnels de règlementation, etc.) ;

Les organismes dont les activités de base exigent des suivis réguliers et systématiques de données personnelles à grande échelle :
« Grande échelle » - Selon RGDP Considérant 91, il s’agit des opérations « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé » (Ex. Banques, réseaux de transports publiques, moteurs de recherche)

Les organismes dont les activités de base consistent en un traitement à grande échelle des données sensibles (Ex. hôpitaux)

Pour les autres organismes, la désignation d’un DPO reste facultative mais peut être utile dans une démarche de conformité. Pour celles-ci, désigner un DPO externe ou mutualisé pour une catégorie de responsables de traitement ou de sous-traitants est une possibilité. En tout état de cause, le processus du choix de nommer ou pas un DPO devrait être documenté (recommandation de la CNIL).

Le DPO possède un profil particulier, recherché, que nous pouvons vous aider à identifier. La personne désignée est choisie sur la base de ses « qualités professionnelles », et notamment ses « connaissances et pratiques en matière de protection des données. » Typiquement, il pourrait être soit un juriste avec des connaissances informatiques, soit un informaticien avec des connaissances légales. Une connaissance du secteur de l’employeur est également très utile. Selon la CNIL, 47% des « CIL » (correspondant informatique et libertés, le précurseur du DPO) ont des profils techniques.

Le DPO peut être désigné en interne (e.g. salarié), ou en externe sur la base d’un contrat de service. Un groupe d’entreprises peut avoir un même DPO. Quel que soit son statut, le DPO est indépendant et ne peut recevoir aucune instructionen ce qui concerne ses missions. Il est également protégé (le responsable ne peut pas le pénaliser ou le révoquer pour l’exercice de ses missions). L’organisme doit aussi lui fournir les moyens matériels pour qu’il réalise sa mission.

Notre offre vous intéresse ?

Remplissez notre formulaire de contact et nous reviendrons vers vous le plus rapidement possible.


En partenariat avec

© Altij 2018 • Site réalisé par Totem NumériqueMentions Légales