Quand faut-il un délégué à la protection des données ?
Il existe 3 cas dans lesquels la désignation d’un DPO est obligatoire :
- lorsque le responsable est une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
- lorsque les activités de base de l’organisation exigent un suivi régulier et systématique à grande échelle de personnes
- lorsque les activités de de l’organisation consistent en un traitement à grande échelle de données de santé par exemple (plus généralement de données article 9 ou 10)
Dans tous les autres cas, la désignation d’un DPO est facultative ; toutefois il est nécessaire d’avoir une personne en charge de la conformité RGPD dans l’organisation, au risque de ne pas respecter la loi.
Qui peut être DPO ?
Toute personne qui a minima a suivi une formation de deux jours au moins sur la conformité RGPD. La formation du DPO est une obligation pour pouvoir exercer ces fonctions.
Les fonctions et les missions du DPO
Les missions du délégué à la protection des données sont au moins les suivantes:
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
- *Contrôler le respect du RGPD, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits
- Dispenser des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
- Coopérer avec la CNIL
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
De manière générale le DPO assiste également dans la création et le maintien à jour du registre.
Comment devenir DPO ?
Il faut dans un premier temps suivre une formation de deux jours accessible par exemple sur Legiscope puis mener la procédure de nomination du DPO auprès de la CNIL.