Quel est le rôle du DPO ?

Quel est le rôle du DPO ?
Article RGPD

Le DPO (Data Protection Officer, en anglais, délégué à la protection des données ou DPD en français) est la personne en charge de la protection des données à caractère personnel traitées par un organisme (administration, entreprise, …). Le DPO étant obligatoire dans de nombreux cas, il est essentiel de comprendre son rôle au sein d’une entreprise. Le DPO a un rôle de sensibilisation des salariés au RGPD afin que chacun comprenne l’enjeu du respect du RGPD et participe à la mise en conformité de son organisme.

Le rôle du DPO

Les missions du DPO sont clairement définies dans le Règlement Général sur la Protection des Données (art. 38 et 39), il doit :

  • Informer et conseiller le responsable du traitement sur les obligations en matière de protections des données personnelles.
  • Sensibiliser, informer et conseiller les salariés de l’entreprise sur la protection des données personnelles
  • Contrôler le respect du RGPD grâce à un audit de mise en conformité
  • Proposer à sa direction d’établir une analyse d’impact sur la protection des données
  • Être disponible et répondre aux questions des personnes concernées (en interne : vos salariés, en externe : vos clients, patients, prospects, …) par vos traitements de données
  • Assurer une coopération avec la CNIL en gérant les interactions entre son entreprise et l’autorité de contrôle

Dans le cadre de ses fonctions, le DPO devra également :

  • Être consulté pour tout projet de nouveau traitement ou modification d’un traitement existant car le rôle du DPO est de piloter la mise en conformité des traitements. Il est donc systématiquement associé à toutes les réflexions relatives à la protection des données dans la structure où il exerce
  • Être consulté sur toute l’analyse d’impact relative à la protection des données
  • Valider, actualiser et communiquer aux personnes qui le demandent
  • Étudier les recommandations de la CNIL et les appliquer au sein de l’entreprise
  • Veiller à la tenue d’une documentation complète et à jour des activités de traitement du responsable de traitement
  • Rédiger et remettre au responsable de traitement un bilan annuel des actions menées au titre de ses fonctions de DPO
  • Notifier auprès de la CNIL toute violation de données et proposer les actions correctrices et préventives nécessaires

Les missions du DPO demandent des compétences juridiques et informatiques. Pour mener à bien ces tâches, le DPO doit avoir des qualités humaines et organisationnelles. Ses atouts permettront d’impliquer l’ensemble du personnel dans la mise en conformité RGPD de l’organisme.

Pour vous accompagner dans votre mise en conformité, RGPD Academy vous propose des formations adaptées à tous, de la sensibilisation au RGPD à la préparation de la certification DPO.

Découvrir nos formations

Les questions courantes sur le DPO et son rôle

Comme indiqué précédemment, la désignation d’un DPO n’est pas imposée dans toutes les structures, mais est obligatoire dans trois cas :

 

  • Lorsque le traitement des données personnelles est effectué par un organisme public
  • Lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées
  • Lorsqu’il s’agit d’un traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions

Le délégué à la protection des données doit agir de manière indépendante dans l’entreprise et ne doit pas recevoir d’instructions concernant l’exercice de ses missions. Il ne peut être pénalisé ou relevé de ses fonctions par le responsable de traitements pour l’exercice de ses missions car le respect des obligations en matière de protection des données relève de la responsabilité du responsable du traitement.

Avant de recruter un DPO, il est important de savoir quelles qualifications un DPO doit avoir. Le niveau d’expertise requis pour un délégué à la protection des données n’est pas clairement défini dans le RGPD. Cela dit, le DPO doit maîtriser les lois et pratiques nationales et européennes en matière de protection des données. Son rôle est de maîtriser le RGPD et d’être en mesure de le faire appliquer et de l’adapter au secteur d’activité ou à l’organisation interne du responsable de traitement. Le DPO doit aussi avoir une bonne compréhension des besoins du responsable de traitement en matière de protection des données.

 

RGPD Academy met à disposition une formation « Exercer le métier de DPO : préparation à la certification DPO », cette formation permet au DPO d’acquérir les compétences suivantes :

 

  • Une aptitude à communiquer efficacement
  • Une expertise en matière de législation
  • Une bonne connaissance du secteur d’activité
  • Un positionnement efficace en interne
  • Une connaissance des outils et procédures de conformité
  • Savoir appliquer une stratégie Privacy by design et une méthodologie d’analyse d’impact
  • Savoir mettre en place des mesures de sécurité

 

Cette formation se base sur le référentiel de la CNIL des compétences du DPO.

 

De plus, les formations RGPD Academy permettent au DPO d’avoir un suivi de formation et d’attester d’un certain niveau de compétence !

Le responsable de traitement doit mettre certains moyens à disposition du DPO afin que celui-ci puisse garantir la bonne réalisation de ses missions et remplir son rôle de DPO. La direction doit mettre à disposition du DPO les moyens suivants :

 

  • Un outil de management des activités du DPO afin de faciliter la saisie du registre de traitement et la rédaction des bilans
  • Permettre au DPO de solliciter à tout moment les services de l’entreprise qu’il juge utile en vue d’un soutien et d’un accompagnement

Le délégué à la protection des données peut être un membre du personnel du responsable de traitement, donc il s’agit d’un DPO interne à l’entreprise. Il peut également exercer ses fonctions sur la base d’un contrat de service, on parle donc d’un DPO externe. La loi n’impose aucune contrainte à ce sujet, l’entreprise peut désigner ou recruter un DPO en interne ou externaliser cette fonction à un expert.

 

  • Le DPO interne

Un délégué à la protection des données interne à l’entreprise connaît le domaine d’activité et l’environnement de travail de la structure où il opère. Il connaît également les interlocuteurs et valeurs de l’entreprise. En interne, le DPO sera plus réactif en cas de besoin immédiat.

 

  • Le DPO externe

Le DPO externe est neutre et indépendant ce qui permet d’éviter le risque de conflit d’intérêt. Il peut être disponible immédiatement car il n’a pas besoin d’être formé à ce poste.
A savoir : il est également possible d’avoir un DPO mutualisé pour les organismes appartenant au même secteur d’activité.
Besoin d’un DPO externe ou mutualisé ? Désignez notre partenaire Actecil !

Vous aurez aimé aussi :

  1. L’application « TousAntiCovid » remplace « StopCovid »
  2. Normes ISO et RGPD
  3. Les codes de conduite RGPD
  4. Les bonnes pratiques RGPD
Retour aux actualités
Partager l'article

Articles similaires

IA et RGPD : les recommandations de la CNIL
Article RGPD Minute RGPD

IA et RGPD : les recommandations de la CNIL

Avec l'essor des systèmes d'intelligence artificielle (IA), notamment des IA génératives, de nombreux acteurs se posent la question de leur conformité au Règlement Général sur la Protection des Données (RGPD). La CNIL, consciente des enjeux liés à l'utilisation de l'IA et de la protection des données personnelles, a lancé en mai 2023 son "plan IA" pour clarifier le cadre juridique et accompagner les acteurs dans la mise en conformité de leurs systèmes.
Lire la suite
Plan stratégique 2025-2028 : la CNIL face aux enjeux du numérique
Article RGPD Minute RGPD

Plan stratégique 2025-2028 : la CNIL face aux enjeux du numérique

La CNIL (Commission Nationale de l’Informatique et des Libertés) dévoile son plan stratégique pour 2025-2028. Dans ce nouveau plan stratégique, La CNIL se positionne sur des enjeux importants comme l’intelligence artificielle (IA), la cybersécurité et la protection des mineurs.
Lire la suite