Qu’est-ce qu’un délégué à la protection des données ?
La mise en application du RGPD a engendré de nouvelles pratiques dans la gestion des données personnelles. Le délégué à la protection des données est dans l'entreprise le "garant" du respect de ces nouvelles pratiques dans chaque entreprise.
Vous le savez, le Règlement général sur la protection des données (RGPD) s’applique depuis le 25 mai 2018 dans toute l’Europe. Ce règlement renforce la protection des données à caractère personnel des individus. Il responsabilise les entreprises actrices de ce traitement. C’est notamment par l’intermédiaire d’un délégué à la protection des données (appelé également DPO) qu’elles identifient et coordonnent les actions à mener dans ce domaine.
La désignation d’un délégué à la protection des données est-elle obligatoire ?
Les autorités de protection des données européennes recommandent fortement à toutes les organisations de désigner un délégué à la protection des données.
Cette fonction permet à une entreprise de mener les actions nécessaires pour se conformer au RGPD. Et de fait, d’éviter les lourdes sanctions possibles en cas de manquement. Cette nomination est dans tous les cas obligatoire si :
- L’entreprise ou l’organisation a une activité qui l’amène à effectuer un traitement de données personnelles régulier et à grande échelle.
- L’organisation traite des données à caractère personnel et des données sensibles telles que : les opinions politiques, le casier judiciaire, les données biométriques, les données génétiques, les croyances religieuses ou politiques.
- Une autorité ou un organisme public effectue le traitement des données personnelles des individus.
Quel est son rôle ?
Le délégué à la protection des données est le grand architecte des données personnelles. Il à différents rôles liés au RGPD :
- Répondre aux questionnements des individus qui touchent à la protection de leurs données à caractère personnel.
- Répondre aux questions que se posent les individus sur l’exercice de leur droit vis-à-vis du RGPD.
- Responsabiliser, informer et conseiller les responsables de l’organisation ainsi que les collaborateurs qui traitent des données personnelles sur leurs obligations envers le RGPD. Le DPO peut ainsi organiser des formations concernant le traitement des données personnelles au sein d’une entreprise.
- Contrôler et veiller au bon respect du RGPD ainsi que des autres règlements européens en matière de protection des données au sein de l’organisation pour laquelle il travaille.
- Piloter et diriger les actions à mettre en place pour la protection des données personnelles de tous les individus.
- Tenir un registre du traitement des données personnelles de l’entreprise. Il est l’interlocuteur de la CNIL. (la CNIL est l’autorité de contrôle du respect du RGPD).
La désignation de la personne déléguée à la protection des données est faite à la libre appréciation de l’organisation. Il faut cependant que :
- la personne soit compétente,
- elle ait une expertise technique,
- mais aussi une expertise juridique.
Le DPO doit également bien connaitre la structure dans laquelle il va exercer. Il faut, par exemple, qu’il ait pu assister au montage des projets qui impliquent la manipulation de données personnelles d’individus.
Pour en savoir plus : Le rôle du délégué à la protection des données est précisé dans les articles 37 et 39 du RGPD et résumé sur le site de la CNIL.