Le RGPD rend le DPO obligatoire

Data Protection Officer

Le RGPD rend le DPO obligatoire

Le DPO obligatoire ou facultatif ?

La fonction de CIL ou Correspondant Informatique et Libertés a évolué avec l’entrée en vigueur du RGPD. Un nouveau rôle dans l’entreprise, celui de DPO devient incontournable. Le DPO acronyme de Data Privacy Officer, également appelé Data protection Officer, ou Délégué à la Protection des données personnelles n’a pas exactement le même rôle que celui que l’on connaissait en France sous le nom de Correspondant Informatique et Libertés. Si pour le grand public, ce rôle est une nouveauté, il existait déjà en France un bon nombre d’établissement doté d’un CIL.

La nouvelle règlementation européenne rend le DPO obligatoire pour certains organismes en France. Le nouveau règlement européen à la protection des données personnelles (RGPD) qui s’applique le 25 mai 2018, introduit la mission d’un tel responsable au sein de l’organisme. Selon l’activité et le type de structure, cette désignation du DPO devient obligatoire.

Les organismes souhaitant mettre en place une gouvernance vertueuse des traitements de données à caractère personnel feront aussi le choix volontaire de désigner un DPO. Ce rôle peut tout à fait être externalisé. Le DPO externe rempli sa mission auprès de l’organisme dans les mêmes conditions qu’un responsable nommé en interne.

Un DPO obligatoire pour quels organismes ?

  • Les responsables de traitements du secteur public,
  • les entreprises dont l’activité principale les amène à réaliser du profilage à grande échelle ou si leur activité les amène à traiter (toujours à grande échelle) des données dites «sensibles» ou relatives à des condamnations.

Le DPO devient obligatoire

Dans la réalité, peu d’organismes échapperont à ces critères. Il est précisé, comme c’est le cas aujourd’hui, qu’un groupe peut désigner un seul DPO qui serait mutualisé, du moment qu’il est facilement joignable de chaque établissement. Les responsables de traitement peuvent aussi opter pour un DPO externe.

Désigner un DPO mutualisé est une solution tout à fait acceptable pour répondre aux obligations du RGPD et faire appliquer au sein de l’organisme la politique de protection des données personnelles. Le DPO externe et mutualisé intervient selon les besoins de l’organisme sous la forme d’une prestation de service.

La fonction de DPO est le véritable pivot du règlement européen.

Le DPO ou Délégué à la Protection des données personnelles, est une des nouveautés du RGPD. Cette fonction de pilote de la gouvernance des données de l’entreprise requiert une très bonne connaissance des mécanismes du Règlement Général sur la Protection des Données et ses nouveautés par rapport à la Loi Informatique et libertés. La Directive EU 2016/680 du Parlement Européen et du Conseil indiquait déjà, en date du 27 avril 2016, les missions du Délégué à La Protection des Données Personnelles. Le règlement ainsi que les avis et recommandations du Groupe de travail Article 29 sur la protection des données (appelé aussi G29, WP29) ont ensuite précisé quelles seraient les missions du DPO et les compétences requises pour cette fonction.

le RGPD rend le DPO obligatoire

DPO externe garant de la protection des données personnelles. Chef d’orchestre de la conformité RGPD

Dans cette perspective, le Cnam a mis en place depuis 2014 une formation labellisée par la CNIL qui permet au titulaire du « certificat de spécialisation – Correspondant Informatique et libertés » de justifier de son niveau d’expertise juridique en matière « informatique et libertés » et de sa capacité à occuper, au sein d’une structure publique, privée ou associative, les fonctions de DPO/CIL pour accompagner l’organisme dans l’application du règlement européen sur la protection des données personnelles.

dpo-solutions propose aux organismes des consultants DPO ayant reçu le certificat de spécialisation et disposant des compétences professionnelles requises pour accompagner l’organisme dans le processus de mise en conformité, et habilités à être désigné DPO externe.

dpo-solutions est adhérent à l’Association Professionnelle AFCDP afin d’être à jour de l’actualité et des bonnes pratiques de cette nouvelle fonction. L’AFDCP a notamment pour objet de promouvoir et développer une réflexion quant au statut et aux missions des correspondants à la protection des données personnelles, de favoriser dans ce domaine la concertation entre les entreprises et les pouvoirs publics, de développer les échanges entre ses membres pour favoriser les meilleures pratiques professionnelles.

Quelles sont les missions du DPO ?

Le DPO devra  être  le  garant  de  la  conformité.

Bon communicant, il conseille et informe le responsable de traitement et les personnels chargés de la mise en oeuvre des traitements de données sur les obligations et sur la manière de les appliquer en pratique.

Il veille au respect de la conformité au règlement européen ainsi qu’aux règles internes mises en place par le responsable de traitement dans sa politique de protection des données personnelles.

Il pilote la  réalisation  des analyses  de  risques  et des  études  d’impacts.

Il est l’interlocuteur privilégié en cas de violation de données personnelles (et il devra veiller à ce que cette violation soit documentée).

Principal interlocuteur des personnes concernées, il s’assure que les demandes d’exercice des droits des personnes concernées soient satisfaites dans les délais impartis.

Communiqué de presse de l’AFCDP : le DPO obligatoire

Le DPO devient quasiment obligatoire avec le RGPD : Lire le communiqué de presse de l’AFCDP (Association représentative des CIL en France) : Vers le communiqué de presse de l’AFCDP

Votre organisme a besoin d’un DPO ?

Contactez-nous pour obtenir nos références et certificats de compétences : contactez-nous ici

Nous étudions ensemble votre besoin DPO externe : Contact 

dpo-solutions RGPD