Le DPO RGPD : tout ce qu'il faut savoir sur ses missions

Définition : qu’est-ce qu’un DPO RGPD ?

Le DPO RGPD est la personne en charge de veiller au respect de la vie privée, et à la conformité de l’organisation au RGPD (la nouvelle règlementation en matière de protection des données personnelles).

Toutefois, attention, car on confond souvent la mission de “DPO” RGPD, avec un “pilote” RGPD. Dans une organisation, une personne peut être en charge du respect du RGPD sans pour autant être DPO. Le DPO RGPD est quant à lui désigné par une procédure spécifique prévue par le RGPD, ce qui implique des missions spécifiques - comme par exemple contrôler le respect du présent règlement, dispenser des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et contrôler son exécution.

Le DPO RGPD est-il obligatoire ?

Les organisations doivent s’assurer que le RGPD est bien respecté, et pour cela, il est nécessaire d’avoir a minima une personne en charge de cette mission (un “pilote”, ou un “chargé de mission” RGPD).

Pour autant, le DPO RGPD n’est obligatoire que dans 3 cas (art. 37) :

• si l’organisation est une autorité publique ou un organisme public ;
• si l’organisation met en place un suivi régulier et systématique à grande échelle de personnes ;
• si les activités de base de l’organisation consistent dans des traitements à grande échelle de données sensibles RGPD (art. 9 et 10) - telles que des données de santé par exemple

Au-delà la nomination d’un DPO RGPD est facultative. Voici quelques précisions quant aux obligations légales :

Est-il conseillé de nommer un DPO ?

Il est absolument indispensable d’avoir une personne dans l’organisation qui soit formée et qui s’assure que les obligations imposées par le RGPD sont bien respectées ; cela peut être un DPO (interne, ou externe) à la suite d’une nomination RGPD, ou simplement d’une personne qui a suivi une formation RGPD pour s’assurer que l’organisation respecte bien la règlementation liée à la protection des données personnelles.

La CNIL a récemment sanctionné une entreprise à 500.000€ d’amende pour non respect du RGPD, ce qui doit vous rappeler que le RGPD impose des amendes qui sont lourdes et de plus en plus fréquentes. En cela, il n’est pas possible de faire l’impasse sur cette règlementation.

Quelle formation le DPO RGPD doit-il disposer ?

Le DPO doit être désigné sur la base de ses qualités professionnelles (art. 37.5), et en particulier :

• sur ses connaissances spécialisées en droit de la protection des données personnelles
• sur sa capacité à accomplir ses missions

Il doit donc obligatoirement suivre une formation spécifique sur le règlement européen pour appréhender ses fonctions.

Quelles sont les missions du DPO RGPD ?

Les missions du DPO sont clairement définies par l’article 39 du RGPD :

• il informe et conseille sur les obligations relatives au RGPD ;
• il contrôle le respect du RGPD assure la sensibilisation et la formation du personnel participant aux opérations de traitement, et mène les audits RDPD;
• il dispense des conseils relativement à la PIA
• il coopérer avec la CNIL (particulièrement en cas de contrôle) ;
• il fait office de point de contact dans l’organisation pour toutes questions relatives au RGPD

À noter que le DPO n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

Quelles sont les obligations de l’organisation par rapport à son DPO RGPD ?

Les fonctions du DPO ainsi que les rapports qu’il entretient avec son organisation sont cadrées par le RGPD, qui a imposé une série d’obligations au responsable du traitement.

À ce titre:

• l’organisation doit s’assurer d’associer le DPO en temps utile, à toutes les questions relatives à la protection des données à caractère personnel
• aider le DPO à exercer ses missions en mettant à sa disposition les ressources nécessaires et en lui permettant d’entretenir ses connaissances spécialisées.
• ne donner aucune instruction en ce qui concerne l’exercice des missions ; à ce titre le DPO RGPD bénéficie d’une protection et ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement. Il doit également rapporter au niveau le plus élevé de la direction de son organisation.

Le DPO RGPD est soumis au secret professionnel ou à une obligation de confidentialité pour l’exercice de ses missions.

Il peut exécuter d’autres missions et tâches, mais à condition qu’il n’y ait pas de conflit d’intérêts.

Comment le DPO RGPD est désigné ?

Si l’organisation souhaite désigner un DPO au sens du RGPD, celui-ci devra être désigné directement auprès de l’autorité nationale de contrôle - en France la CNIL.

À défaut, si l’organisation souhaite simplement disposer d’une personne en charge de ces problématiques, aucune procédure spécifique ne sera nécessaire - autre que s’assurer que ses missions font partie de la fiche de poste de l’employé - ou de disposer d’un contrat de service avec le prestataire choisi.

Le DPO doit-il être interne ou peut-il être externe également ?

Le DPO peut être interne ou externe, l’article 37.6 le prévoit spécifiquement :

“6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service”

Quelle grille de salaire pour le DPO RGPD ?

Les salaires vont de 30K€/an (débutant) à un peu plus de 100K€/an avec la majorité des salaires ocillant entre 40K€ et 70K€ ; le DPO d’une société du CAC40 aura des missions de coordination d’équipe qui seront différentes de celles d’un DPO d’une petite société - et donc un salaire également différent.

Les profils de DPO sont encore rares et la demande reste forte - et elle va rester forte pendant les années à venir. En effet, les règlementations imposant le respect de la vie privée s’imposent de plus en plus de par le monde, et les sanctions RGPD fréquentes, de sorte d’inciter les responsables de traitement au respect du RGPD.

C’est donc une corde intéressante à ajouter à son arc d’un point de vue professionnel.