Parmi les différentes obligations imposées par le RGPD, il y a celle qui consiste à nommer un Data Protection Officer (DPO). Quelles seront les missions de ce nouveau délégué à la protection des données ? Qui pourra prétendre à cette fonction ? Tous les organismes qui collectent et traitent des données personnelles de citoyens européens devront-ils obligatoirement s’adjoindre les services d’un DPO ? Voici quelques éléments de réponses…

La fonction de DPO

Pour beaucoup d’entreprises et d’organismes visés par le RGPD, l’application, en mai 2018, du nouveau règlement européen sur la protection des données, va inévitablement les amener à opérer de profonds changements dans leur mode de fonctionnement. Or, face à la relative complexité du dispositif, la tâche risque d’être souvent compliquée. D’où la recommandation, voire l’obligation dans certains cas, de recourir à un DPO, dont les missions principales seront de :

• conseiller le responsable des traitements, ou le sous-traitant,
• informer et sensibiliser le personnel sur l’importance de la protection des données personnelles,
• superviser la mise en place et garantir le suivi des procédures qui vont permettre d’assurer une bonne « gouvernance des données » (analyses d’impact, registre des traitements, etc.)
• veiller au respect constant du règlement,
• servir de relais avec l’autorité de contrôle (CNIL), si besoin.

Qui peut devenir DPO ?

Un DPO peut être un collaborateur nommé en interne, dès lors qu’il possède des compétences en droit, une expertise en termes de protection des données, ainsi que de réelles capacités de coordinateur. Et si l’entreprise ou l’organisme compte déjà dans ses rangs un Conseiller Informatique et Libertés (CIL), c’est assez logiquement ce dernier qui pourrait prétendre à occuper la fonction de DPO à compter du 25 mai 2018.

Toutefois, une personne extérieure est également susceptible de devenir délégué à la protection des données. Et comme le poste nécessite, entre autres, de très bien maîtriser le droit, les juristes et avocats spécialisés s’avèrent être des profils particulièrement adaptés, au même titre que certains prestataires/consultants externes qui se sont formés aux particularités du RGPD, pour devenir des experts en la matière.

A noter qu’un seul et même DPO peut exercer pour le compte d’un groupe constitué de plusieurs entités (entreprises, collectivités, etc.). On parle alors de DPO mutualisé.

Un DPO est-il obligatoire ?

Selon l’article 37 du nouveau règlement européen, le recours à un délégué à la protection des données n’est obligatoire que dans 3 cas bien précis :

• quand il s’agit d’une structure du secteur public, comme une collectivité locale, ou
• quand le volume des données traitées nécessite un suivi méthodique et continu, sur une très grande échelle, et/ou
• quand les données concernées sont dites « sensibles » (données médicales, origines raciales, opinions politiques et religieuses, etc.), ou se rapportent à des infractions/condamnations.

Dans toutes les autres situations, un DPO n’est donc pas forcément requis. Cependant, face à la relative complexité de mise en œuvre du dispositif, et aux risques de fortes sanctions en cas de non-respect des directives, se rapprocher d’une personne maîtrisant bien le RGPD peut être un atout non négligeable.

Sources : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

A venir : RGPD : procédure en cas de fuite de données personnelles