Délégué à la protection des données (DPO) : quels rôles et missions ?

La gouvernance projet requiert quasiment systématiquement un comité de pilotage. Dans un environnement aujourd’hui largement digitalisé, la question du traitement et de la protection des données personnelles est devenue très sensible. Les citoyens entendent exercer un contrôle sur l’utilisation des données les concernant. C’est pourquoi le règlement européen sur la protection des données (RGPD) vise à harmoniser les réglementations en vigueur au sein des états membres de l’union. Applicable depuis le 25 mai 2018, il responsabilise davantage les organismes publics et privés détenteurs de données à caractère personnel. Ces derniers doivent notamment être en mesure de justifier à tout moment les actions mises en œuvre auprès de l’autorité de contrôle (CNIL). Désigné par les entreprises concernées, le délégué à la protection des données (DPO) tient une place centrale et veille à assurer la conformité aux dispositions du règlement européen.

Stratégie IT

Le blog IT

Quels organismes et entreprises sont tenus de désigner un délégué à la protection des données ?

Trois types d’établissements se trouvent dans l’obligation de désigner un délégué. Il s’agit des organismes et établissements publics, des structures réalisant dans le cadre de leur activité courante un suivi régulier et systématique de personnes, des organismes amenés à traiter à grande échelle des données qualifiées de « sensibles » (état de santé des personnes, condamnations pénales, etc.).

L’article 29 de la directive sur la protection des données en date du 24 octobre 1995 a créé un groupe dénommé « G29 » qui associe l’ensemble des autorités indépendantes des états membres de l’union compétente, dont la Commission nationale de l’informatique et des libertés (CNIL) française. Ce groupe a notamment précisé les notions de « grande échelle » et de traitement « régulier et systématique ».

Les seuils retenus ici peuvent faire référence au nombre de données traitées, à leur niveau de sensibilité ou encore à leur étendue géographique. Par ailleurs, le groupe de travail G29 recommande fortement aux organismes qui ont à traiter des données à caractère personnel sans pour autant relever de l’une des trois catégories énumérées précédemment, de désigner tout de même un DPO.

Profil et compétences requises

L’article 37.5 du RGPD précise que peuvent être désignées DPO les personnes disposant de qualités professionnelles et de connaissances en matière de droit et de pratiques applicables aux traitements de données personnelles. De plus, le délégué devra bien connaître le secteur d’activité concerné, les systèmes d’information déployés, la nature et la sensibilité des données traitées.

Il doit, en outre, être en capacité d’animer un réseau transversal, y compris dans les filiales du groupe, et bénéficier d’un positionnement en interne lui permettant d’interagir avec les instances de direction.

Enfin, le délégué exerce ses missions en toute indépendance et à l’abri de tout conflit d’intérêts. Il n’existe pas de profil type de délégué à la protection des données. Certains ont un parcours plus juridique, d’autres plus technique.

L’installation du Data Protection Officer (DPO)

L’organisme public ou privé doit mettre en place tous les moyens nécessaires à disposition de son DPO. Le délégué doit pouvoir accéder à toutes les informations utiles et intervenir librement au sein de tous les services et divisions du groupe, être associé à chacun des projets ayant un impact en matière de protection des données à caractère personnel et disposer de moyens matériels.

Par ailleurs, son indépendance devra être garantie. Ainsi, l’exercice d’une autre mission ne doit pas conduire à le placer en position de conflit d’intérêts. Le délégué ne doit subir aucune pression ni instruction abusive. Il est tout à fait possible qu’un DPO intervienne dans plusieurs entreprises. Cela renforcera d’ailleurs son niveau de spécialisation. Enfin, le serveur informatique de la CNIL met à disposition des organismes intéressés un télé-service permettant de désigner aisément un DPO. La désignation sera effective, dès le lendemain de la déclaration en ligne.

Les missions du délégué à la protection des données

Immédiatement après sa prise de fonction, le délégué chargé de la protection des données inventorie les données traitées et évalue les dispositifs mis en place par l’organisme et ses sous-traitants. Sur cette base, il dresse une cartographie des risques et définit les bases de la politique de traitement des données à caractère personnel à mettre en œuvre. Il mobilise et sensibilise les responsables de traitement de données et, le cas échéant, propose le déploiement d’un plan de formation.

Une fois le règlement européen décliné à l’échelle de l’organisme, le délégué à la protection des données veille au respect du Règlement Général sur la protection des données (RGPD) en exerçant une mission de contrôle, en conseillant le personnel et les instances de direction, en proposant la réalisation d’études d’impact et en répondant aux questions des personnes souhaitant connaître et faire valoir leurs droits en matière de protection des données à caractère personnel. Si le DPO est chargé de contrôler le respect et la conformité au RGPD, sa responsabilité ne peut pas être retenue en cas d’absence de conformité constatée.

Enfin, le délégué à la protection des données est le point de contact privilégié pour l’autorité de contrôle. L’organisme doit se trouver en capacité de démontrer par la documentation que les dispositions du RGPD sont bien respectées, à la demande de cette autorité de contrôle. Il s’agira notamment de mettre à disposition les registres de données ou les résultats des analyses d’impact réalisées. Les contrats conclus avec les sous-traitants ainsi que les informations délivrées aux usagers ou clients au sujet de leurs droits et le recueil de leur consentement feront également l’objet d’un contrôle approfondi.

Le DPO facilite le travail de l’autorité de contrôle en permettant à celle-ci d’accéder à ces documents et informations. Au besoin, il pourra, de son côté, demander conseil à l’autorité dans l’exercice de ses missions.

TÉLÉCHARGEZ GRATUITEMENT NOTRE LIVRE BLANC

« TOUT SUR LA GOUVERNANCE DE PROJET IT »

À lire également dans notre dossier “gouvernance projet IT ” :

Share This