Le Délégué à la Protection des Données Personnelles (DPD)

Data Protection Officer

L’entrée en vigueur du RGPD au 25 mai 2018, implique des mises en conformité des organismes pour satisfaire aux exigences du nouveau règlement européen sur la protection des données personnelles.

Gérer la conformité au RGPD avec le DPO

Le RGPD consacre un nouveau rôle au sein de l’organisme, celui de Délégué à la Protection des Données (le DPD) ou encore appelé DPO pour Data Protection Officer ;

Un enjeu économique et social :

La protection des données personnelles est désormais un enjeu économique et social central. Actuellement, les données personnelles sont régies par le Règlement no 2016/679, dit règlement général sur la protection des données (RGPD) qui rend indispensable la désignation d’un pilote de la gouvernance des données personnelles au sein de l’entreprise.  Dans son article 37, le RGPD précise les cas dans lesquels la désignation d’une personne dédiée devient obligatoire.

Un risque réputationnel et pénal :

Le risque pénal pèse sur le responsable du traitement de données à caractère personnel : il importe de s’assurer que votre entreprise est en totale conformité avec le cadre légal. L’enjeu est crucial pour le chef d’entreprise.

La désignation d’un délégué à la protection des données personnelles (DPD ou DP0),

En dehors du rôle de « pilote de la conformité » en interne, ou de « référent » aux questions sur la protection des données personnelles, qui devient incontournable au sein de chaque entreprise pour organiser et maintenir la conformité, le RGPD indique que les responsables de traitements doivent désigner un DPO.  La fonction du Délégué et ses missions sont définies dans les articles 38 et 39.

Concernant la désignation du DPO, deux cas de figure se présentent :

  • Soit la désignation est obligatoire, selon certains critères définis dans l’article 37
  • Soit la désignation est facultative

Selon l’article 37 du RGPD, en dehors du cas clairement défini des organismes publics responsables de traitements, l’obligation de désigner un DPO (Data Privacy Officer) pour les entreprises privées est soumise à une appréciation en fonction de ses activités et du volume de données concernées.

  1. b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

Dans tous les cas, un référent en interne devrait être nommé afin d’organiser la gouvernance des de la protection des données personnelles. Il sera en charge de gérer les demandes d’exercice des droits et d’organiser la tenue du registre des traitements.

Si le responsable de traitement prend la décision de désigner un DPO bien qu’il n’apparaît pas être sous l’obligation, on parle de désignation facultative.

La désignation facultative permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données à caractère personnel.

Lorsque qu’un organisme désigne de manière volontaire un DPO, les conditions prévues à l’article 37 s’appliquent à sa désignation, à son poste, et à ses missions comme si la désignation était obligatoire.

Lorsque une entreprise non soumise à l’obligation fait le choix de désigner ou d’employer du personnel ou des consultants extérieurs avec des missions relatives au DPO, il ne devrait pas y avoir de confusion sur le titre, le statut, la position et la mission. Le titre ne devrait pas être DPO afin d’éviter toute confusion. (Selon les lignes directrices du G29 sur les DPO du 13 décembre 2016)

Pour pouvoir désigner une personne comme le DPO de l’organisme, la CNIL demande de vérifier que la personne prévue dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

La mission du Délégué à la Protection des Données personnelles

La mission principale du DPO est de faire en sorte que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. La fonction du DPO est un élément clé de co-régulation, par la pratique.

L’article 39 du RGPD précise les missions du DPO, qui sont au moins les suivantes :

  • Informer et conseiller le responsable de traitement ainsi que les employés qui procèdent au traitement sur les obligations qui leurs incombent en vertu du RGPD.
  • Contrôler le respect du RGPD et autres dispositions légales ou règles internes en matière de protection des données à caractère personnel. Y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participants aux opérations de traitement, et les audits s’y rapportant.
  • Dispenser des conseils en ce qui concerne l’analyse d’impact et vérifier son exécution
  • Tenir compte du risque associé aux opérations de traitement compte tenu de leur nature, de la portée, du contexte et des finalités du traitement.
  • Être l’interlocuteur de la CNIL

Un gage de conformité en interne

Le Délégué à la protection des données personnelles accompagne les projets de mise en place de traitements de données et propose des solutions permettant de concilier les intérêts de l’organisme et la protection des données personnelles (des employés, des clients, et toute personne physique ayant une relation avec l’organisme).

DPO externalisé

Les missions du DPO peuvent être confiées à une personne morale ou physique externe à l’organisme et qui exerce ses missions sur la base d’un contrat de service.

Achille à Paris dispose dans ses équipes de personnes compétentes pour exercer le rôle de DPO, la responsabilité du projet est portée par une personne titulaire d’un diplôme reconnu.

DPO-Solutions by Achille à Paris

Contactez-nous pour un devis personnalisé