Faciliter la mise en conformité de votre société avec un Data Protection Officer
La fonction de Data Protection Officer ou DPO ou encore Délégué à la protection des données a été instaurée par le règlement général sur la protection des données ou RGPD. Ce dernier vient de fixer un nouveau règlement européen sur les entreprises et les pousse à prendre des mesures conséquentes pour assurer la mise en conformité du traitement des données au sein de l’organisme. La fonction DPO est devenue obligatoire pour certaines entités privées et publiques. Vous pouvez voir dans cet article la nécessité du DPO au sein d’une société, ainsi que les qualités professionnelles et les connaissances spécialisées en droit et pratiques nécessaires pour exercer les fonctions de Data Protection Officer.
Qu’est-ce qu’un DPO ?
Présentation
Un DPO est une personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. Le DPO a pour rôle de mettre en conformité la politique de l’entreprise avec le RGPD. La CNIL ou Commission Nationale de l’Informatique et libertés est un régulateur des données personnelles. Elle qualifie le DPO de chef d’orchestre. Le DPO est fortement recommandé et essentiel pour un organisme qui traite des données personnelles pour assurer sa mise en conformité avec la loi dans le cadre de la protection des données personnelles et de la vie privée.
Les compétences nécessaires pour devenir DPO
Avant de désigner un DPO, la société doit s’assurer que la personne remplisse quelques conditions. Le DPO doit :
- Avoir les compétences requises pour exercer sa fonction : des connaissances approfondies des législations, une bonne connaissance des systèmes d’informations et des données, une bonne connaissance de l’organisation interne et des besoins de l’organisme. Les compétences que doivent avoir le DPO doivent toujours être à jour grâce à des formations ;
- Agir en toute indépendance : il doit faire son travail seul, mais n’est pas tenu responsable de la non-conformité. Il ne reçoit pas non plus de sanction ;
- Avoir des moyens suffisants : pour pouvoir exercer son métier, le DPO doit être accessible par tout le monde, avoir accès aux informations utiles et avoir suffisamment de temps pour réaliser ses missions, grâce à des matériels adéquats.
La nomination d’un DPO obligatoire au sein de votre société
Sous l’ancienne loi de 78, la désignation d’un délégué de la protection des données personnelles n’était pas obligatoire, mais de nos jours, c’est désormais le cas. La mission principale du DPO consiste à mettre en conformité la politique de l’entreprise avec le RGPD avec la nouvelle réglementation européenne en matière de protection des données personnelles. Mais pour une meilleure conformité au sein d’une entreprise, le DPO est fortement recommandé par la CNIL qui a pour rôle de conseiller et de permettre le pilotage d’une conformité RGPD. Pour en savoir plus sur le DPO obligatoire, vous pouvez lire l’article. Selon la loi informatique et libertés du RGPD, la désignation d’un DPO est obligatoire dans les cas suivants :
- Quand c’est un organisme ou une autorité publique qui effectue le traitement de données à caractère personnel, à l’exception des juridictions qui agissent dans l’exercice de leur fonction juridictionnelle ;
- Si les activités principales du responsable de traitement et du sous-traitant nécessitent un suivi régulier et systématique à grande échelle des personnes qui sont concernées par les opérations de traitement ;
- Dans un organisme ou société, si un traitement à grande-échelle de catégories de données sensibles est nécessaire dans les activités principales de traitement et des sous-traitants ou s’iil y a des condamnations pénales et des infractions sur les données personnelles relatives.
En cas de contrôle et si l’un de 3 cas se produit, le CNIL vous demandera une justification de la non-présence d’un DPO. Ensuite, vous serez tenu de désigner une personne pour remplir cette fonction.