La seconde est que - contrairement à ce que l’on peut lire - le DPO n’est pas obligatoire pour la majorité des organisations. Au-delà du service public, les cas dans lesquels la loi impose la désignation du DPO sont très restreints. Ceci étant, il reste une aide précieuse pour s’assurer que les obligations du RGPD sont bien respectées.
Voici donc tout ce qu’il faut savoir sur le DPO…
1. A quoi sert un DPO ?
Les missions du DPO sont clairement définies dans le RGPD (art. 38 et 39), son rôle est de conseiller de manière indépendante le responsable du traitement et s’assurer que le RGPD est bien respecté dans l’organisation.
Dans la conduite de ses missions, il doit tenir compte en particulier des risques associés aux opérations de traitement compte tenu des données traitées et de la manière dont elles sont traitées.
Il lui incombe notamment :
- d’informer et conseiller le responsable du traitement quand aux obligations en matière de protection des données personnelles ; cela implique de mener des actions de sensibilisation et de formation
- de contrôler le respect du RGPD - au travers d’audit de mise en conformité
- dispenser des conseils sur demande - notamment en ce qui concerne la PIA
- gérer les interactions avec la CNIL (ou toute autre autorité de contrôle) et à ce titre, fait office de point de contact avec elle
En clair, le DPO a un rôle actif pour assister le responsable de traitement dans la mise en conformité de son organisation.
2. Dans quels cas le DPO est-il vraiment obligatoire ?
Il est obligatoire de désigner un DPO dans 3 cas :
- si vous êtes un organisme public ou une autorité publique
- si vous procédez à un suivi à grande échelle de personnes
- si vous traitez des données sensibles (ex : santé) à grande échelle
ATTENTION : des entreprises douteuses affirment qu’il est obligatoire de nommer un DPO au-delà de 5.000 prospects ce qui est faux, vous pouvez vour reporter à l’article 37 du RGPD qui précise les cas dans lesquels le DPO est obligatoire :
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Voici quelques précisions quant aux obligations légales :
3. Quelle formation pour le DPO ?
Le délégué à la protection des données a de son côté une obligation essentielle de connaissance (art. 37.5) car il est désigné sur la base de ses qualités professionnelles, et en particulier :
- ses connaissances spécialisées en droit de la protection des données personnelles
- sa capacité à accomplir ses missions
Il doit donc obligatoirement suivre une formation juridique sur le règlement européen pour être en mesure d’appréhender ses fonctions. Dans la réalité, le DPO doit également avoir une bonne connaisssance de l’informatique - puisqu’il y sera confronté en permanance de part ses missions.
Pour le reste, il est utile que le DPO ait une bonne connaissance de l’organisation dans laquelle il travaille, ce qui lui facilitera la tâche en raison du fait que les projets de mise en conformité nécessitent des interactions avec de nombreux acteurs - RG, marketing, production, métiers, juridique, etc. Il est également important que le DPO ait un bon relationnel car il sera souvent confronté à des problèmes nécessitant de faire preuve de flexibilité.
4. Est-il intéressant d’avoir un DPO externalisé ?
Le fait d’avoir un DPO externe ou interne est possible et prévu par le RGPD. C’est essentiellement une question de coûts : soit l’entreprise met en place assez de traitement de données personnelles pour avoir un employé dédié à leur mise en conformité, soit ce n’est pas le cas, et son intérêt sera alors d’externaliser ces missions.
Les coûts de mise en conformité vont dépendre :
- du volume de traitements mis en oeuvre
- de la présence de données sensibles - article 9
- du nombre de personnes concernées
Le critère de choix du DPO doit se faire sur 2 éléments : la compétence, ainsi que l’expérience pratique de la mise en conformité. Le DPO doit être en mesure de comprendre les risques et proposer des solutions opérationnelles.
Pour les entreprises de plus de 100 salariés il nécessaire de formater une personne en interne afin de maîtriser l’impact du RGPD sur l’environnement IT, même si l’organisation a un DPO externe par ailleurs. Le RGPD a un lourd impact sur le choix des systèmes informatiques qui peuvent être mis en place dans l’entreprise. Les prestataires choisis doivent présenter les garanties suffisantes en termes de protection des données personnelles, et, à ce titre, une entreprise qui comprénds ses risques RGPD fera des choix totalement différents qu’une entreprise qui n’a pas de visiblité sur ces aspects.
5. En pratique, comment s’opère le travail du DPO ?
Le règlement européen a cadré de manière assez précise les relations entre le responsable du traitement (l’organisation qui traite les données personnelles) et le DPO. Le responsable du traitement à certaines obligations qu’il doit respecter vis-à-vis du DPO, telles que :
- l’associer en temps utile à toutes les questions relatives à la protection des données personnelles
- lui fournir les moyens utiles pour qu’il puisse mener à bien sa mission, et notamment lui donner accès aux données personnelles et aux opérations de traitement, ainsi que lui donner les moyens pour qu’il puisse se former
Un élément particulièrement important dans la relation RT/DPO tient au fait que le DPO ne reçoit aucune instruction en ce qui concerne l’exercice des missions. Le DPO ne peut donc être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions - sauf en cas de faute, mais il faudra attendre la jurisprudence pour donner des illistrations pratiques. Il est donc important d’entretenir de bonnes relations entre les acteurs.
Au-delà, le DPO doit être associé au niveau le plus élevé de la direction du responsable du traitement.
A noter que le DPO est soumis au secret professionnel ou à une obligation de confidentialité, et que les personnes dont les données sont traitées peuvent prendre contact lui directement pour toutes questions relatives au traitement de leurs données à caractère personnel.
Il n’est pas nécessaire que le DPO soit à temps plein, mais l’organisation doit s’assurer que ses tâches n’entraînent pas de conflit d’intérêts.