DPO : Définition
Qualifié de « chef d’orchestre » par la CNIL, le délégué à la protection des données, aussi appelé DPO pour « Data Protection Officer », est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés.
La notion de DPO a été consacrée le 25 mai 2018, par le Réglement Général sur la Protection des données (RGPD) qui en réglemente la désignation, les fonctions, les missions et la certification dans son chapitre 4.
Nommer une personne en charge de la bonne gestion des données personnelles au sein des entreprises n’est pas nouveau. La fonction existait de façon assez marginale et non-obligatoire dans les entreprises, sous la dénomination de Correspondant Informatique et Liberté.
Pour les organismes dont la désignation est obligatoire, il sera le conseiller et l’intermédiaire privilégié de la CNIL afin de piloter la conformité au RGPD. Au sein de l’organisme, le DPO sera également l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou qu’elles émanent d’une personne concernée par un traitement effectué par l’organisme. Ainsi, le DPO sera en charge de la gestion des demandes d’exercice des droits.
Il ressort du bilan dressé après une année d’application du RGPD, que les TPE/PME font de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD.
En effet, la désignation d’un collaborateur en interne pour incarner cette fonction constitue de plus en plus un chantier envisageable pour beaucoup d’entre elles si ce n’est une condition sine qua non pour assurer le pilotage de la conformité et éviter les sanctions pécuniaires.
Toutefois, la fonction de DPO peut également être exercée par un prestataire externe à l’organisme, si l’attribution d’une ressource interne n’est pas envisageable et/ou pertinente. Le métier de DPO externe a donc pris une certaine ampleur, appelée à croître dans les années à venir. En effet, après plus de 2 ans d’application du RGPD, le métier de Data Protection Officer se hisse à la première place des métiers les plus recherchés sur LinkedIn en France. La profession enregistre 32 fois plus de professionnels qu’en 2015 selon LinkedIn.
Quelles sont les missions du DPO ?
Le DPO veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles. A ce titre, il doit :
- Informer et conseiller l’organisme au sein duquel il exerce ses fonctions ainsi que les employés de cet organisme. Il accompagne en profondeur le changement dans l’usage de la data au sein de l’entreprise.
- Contrôler le respect du règlement et du droit national consacré en matière de protection des données personnelles, notamment au niveau des finalités des traitements mis en place et du respect des droit des personnes concernées.
- Proposer à son organisme d’établir une analyse d’impact relative à la protection des données et de s’assurer de son exécution.
- Être disponible pour répondre aux questions des personnes concernées.
- Assurer une coopération avec l’autorité de contrôle locale.
Le DPO peut également, avec l’aide des responsables de traitement et des sous-traitants, tenir le registre des traitements de l’organisme.
Le DPO est donc une fonction essentielle et fortement recommandée pour permettre à un organisme traitant des données personnelles de s’assurer qu’il respecte la réglementation applicable dans le cadre de la protection des données personnelles et de la vie privée.
Le DPO accompagne son organisme dans sa mise en conformité, et dans le maintien de celle-ci dans le temps. Cela implique :
- d’aider l’organisme à cartographier ses traitements ;
- de prioriser les actions à mener en matière de protection des données en fonction du contexte et des risques associés ;
- d’organiser les procédures internes visant à gérer les traitements de données personnelles, les éventuelles demandes d’exercice de droits et violations ;
- de documenter la conformité de l’organisme, afin qu’en cas de contrôle, celui-ci puisse aisément démontrer sa conformité à la réglementation applicable.
Pour simplifier l’ensemble de ces process, le DPO peut s’adosser à un logiciel RGPD de mise en conformité.
DPO : obligatoire ou non ?
Facultatif sous l’empire de l’ancien loi de 78, la désignation d’un DPO devient obligatoire dans un certains nombre de cas. En effet, toutes les entreprises ne sont pas concernés par l’obligation d’avoir un Délégué à la Protection des Données à caractère personnel au sein de leur structure. Cependant, le DPO est fortement recommandé par la CNIL. Il a le rôle de conseiller et permet de piloter votre conformité RGPD.
L’article 37.7 du RGPD prévoit la désignation d’un DPO dans 3 cas précis :
- Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
- Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement (vidéosurveillance, géolocalisation, traitement des échanges bancaires, traitement clients nombreux : tout traitement recouvrant un nombre conséquent de personnes concernées…)
- Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométrique …) ou encore de données personnelles relatives à des condamnations pénales et des infractions.
A noter que le Groupe de l’Article 29 est venu préciser que les entreprises privées qui effectuent des missions de service public ne sont pas tenus à cette obligation de désignation. Toutefois, le G29 recommande une nouvelle fois cette désignation.
Notre recommandation
En cas de contrôle, la CNIL vous demandera de justifier la non présence d’un DPO, il sera donc essentiel de justifier dans votre documentation les arguments qui auront été déterminants dans votre choix de ne pas en désigner. Au final, désigner un DPO interne ou mutualisé avec une autre structure c’est s’assurer un interlocuteur unique pour se garantir une conformité RGPD de bout en bout.
DPO externes ou cabinets d’avocats, nos partenaires sont disponibles pour vous accompagner dans votre mise en conformité comme dans son maintien dans le temps. Si vous n’avez pas les ressources en interne ou que vous souhaitez une aide experte et professionnelle, trouvez le partenaire idéal quels que soient la taille de votre entreprise et son secteur d’activité.
Les compétences et les moyens pour exercer la profession de DPO
Avant de désigner un DPO, il faut s’assurer que ce dernier rempli les trois conditions suivantes :
- Il doit avoir les compétences requises pour exercer la fonction de DPO (connaissances approfondies des législations, une bonne connaissance de l’organisation interne et des besoins de l’organisme, une bonne connaissance des systèmes d’informations, des données collectées …). Le DPO devra par ailleurs s’assurer de maintenir ses compétences dans le temps (suivi de formations …)
- Il doit disposer de moyens suffisants pour exercer la fonction de DPO (accessibilité aux informations utiles, disponibilité, temps suffisant réaliser ses missions, moyens matériels et humains adéquats).
- Il doit agir en toute indépendance (il ne doit pas exister de conflit d’intérêt en cas de cumul de fonction de DPO avec une autre fonction, absence de sanction dans le cadre de son activité de DPO, absence d’instruction hiérarchique dans le cadre de son activité de DPO,). A savoir que même s’il doit être indépendant, le DPO ne peut être tenu pour responsable en cas de non-conformité de l’organisme et/ou de sanction par l’autorité de contrôle compétente.
Le DPO est également tenu par une obligation de confidentialité quant à ses missions.
Enfin, il est nécessaire de déclarer son DPO auprès de son autorité de contrôle compétente. Dans le cas de la France, la CNIL a créé une déclaration en ligne.
En tant que DPO interne ou externe, Data Legal Drive vous aide à réussir la mise en conformité de votre structure ou celles de vos clients. Découvrez comment notre logiciel vous aide au quotidien.
Découvrez le "Guide du DPO" de Data Legal Drive !
Certification du DPO
Dès 2018, la CNIL a proposé un référentiel relatif à garantir que les DPO arrivant en nombre sur le marché soit qualifié par une certification afin d’identifier clairement la nature des expertises, des compétences et savoir-faire du DPO.
Pour rappel, la certification n’est pas obligatoire pour exercer le métier de délégué à la protection des données. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.
Délivrée depuis juillet 2019, cette certification consiste en un examen de compétences et non un diplôme.
La certification DPO de la CNIL, délivrée pour 3 ans, est organisée par des structures de certification agrées par la CNIL (liste).
L’obtention s’obtient par un QCM d’une centaine de questions sous forme en partie de cas pratiques. Les questions portent sur 3 domaines (détail en annexe du référentiel d’agrément) et visent à tester les 17 compétences et savoir-faire listés dans le référentiel de certification (par exemple, savoir identifier la base juridique d’un traitement ou encore savoir élaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel).
L’épreuve est réussie si au moins 75% des réponses sont exactes (dont 50% de bonnes réponses dans chacun des domaines).
Vous souhaitez recevoir davantage d'informations sur le métier de DPO et le RGPD en général ?
Evolution par rapport au Correspondant Informatique et Liberté (CIL)
Chargé de veiller au bon respect de la Loi Informatique et Libertés de 1978 dans les entreprises, le rôle de CIL se voit complètement transformé depuis la mise en place du RGPD et change de nom : DPO.
De nombreuses évolutions ont ainsi été apportées à la fonction :
- Le DPO est obligatoire dans certains cas, là où le CIL était totalement facultatif
- Les sous-traitants sont dans l’obligation d’en désigner un s’ils répondent aux différents critères établis par le RGPD
- Les données de coordonnées du délégué doivent être accessibles publiquement depuis le site de la CNIL
- Un DPO externe à l’entreprise peut être nommé, sans restriction, DPO qui peut ainsi être mutualisé entre plusieurs organismes
- Le DPO doit être déclaré auprès de son autorité de contrôle (la CNIL pour la France)
Le DPO a également de nouvelles missions, apportées par le RGPD, au sein des entreprises :
- Mettre en place des PIA (Analyses d’impacts RGPD) réguliers et systématiques en cas de projet pouvant impacter la protection des données personnelles
- Assurer l’Accountability (c’est-à-dire la responsabilité) de l’entreprise, afin de prouver la bonne conformité de l’entreprise au RGPD
- Assurer la prise en compte des principes de Privacy by Design et de Privacy by Default au sein de l’organisme
- Gérer les violations de données personnelles et les indiquer à la CNIL et aux personnes concernées
Les organismes peuvent alors :
- Remplacer leur CIL par un DPO, qui peut être la même personne (à condition que celle-ci réponde aux exigences inhérentes au poste),
- Désigner un DPO en remplacement du CIL
- Conserver leur CIL initial, en sus du DPO désigné en application du RGPD.