DPO : Définition

Le délégué à la protection des données, aussi appelé DPO pour «Data Protection Officer» est la personne en charge de la protection des données personnelles au sein des organismes publics ou privés. La fonction existait de façon assez marginale dans les entreprises, le RGPD la consacre, la rend obligatoire dans certains cas et l’encadre.

Pour les organismes dont la désignation est obligatoire, le DPO sera le conseiller et l’intermédiaire privilégié de la CNIL afin de piloter la conformité au RGPD.

Par ailleurs, il ressort du bilan dressé après une année d’application du RGPD, que les TPE/PME font de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD.

En effet, la désignation d’un collaborateur en interne pour incarner cette fonction constitue de plus en plus un chantier envisageable pour beaucoup d’entre elles si ce n’est une condition sine qua non pour assurer le pilotage de la conformité et éviter les sanctions pécuniaires.

dpo-pilier-rgpd

Quelles sont les missions du DPO ?

Le DPO veille à la conformité en matière de protection des données au sein de son organisme. A ce titre, le DPO doit :

  • Informer et conseiller l’organisme au sein duquel il exerce ses fonctions ainsi que les employés de cet organisme.
  • Contrôler le respect du règlement et du droit national consacré en matière de protection des données personnelles.
  •  Proposer à son organisme d’établir une analyse d’impact relative à la protection des données et de s’assurer de son exécution.
  • Etre disponible pour répondre aux questions des personnes concernées.
  • Assurer une coopération avec l’autorité de contrôle locale.

Le DPO est donc une fonction essentielle et fortement recommandée pour permettre à un organisme traitant des données personnelles de s’assurer qu’il respecte la réglementation applicable dans le cadre de la protection des données personnelles.

CNIL mission DPO
Les missions du DPO

DPO : obligatoire ou non ?

Tous les organismes, privés ou publics, ne sont pas concernés par l’obligation d’avoir un Délégué à la protection des données au sein de leur structure. Cependant, le DPO est fortement recommandé par la CNIL. Il a le rôle de conseiller et permet de piloter votre conformité RGPD.

L’article 37.7 du RGPD prévoit la désignation d’un DPO dans 3 cas précis :

  • Lorsque le traitement est effectué par une autorité ou un organisme public.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier à grande échelle des personnes concernées par les opérations de traitement.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométrique …) ou encore de données personnelles relatives à des condamnations pénales et des infractions.

Les compétences et les moyens pour exercer la profession de DPO

Avant de désigner un DPO, il faut s’assurer que ce dernier rempli les trois conditions suivantes :

1. Il doit avoir les compétences requises pour exercer la fonction de DPO (connaissances approfondies des législations, une bonne connaissance de l’organisation interne et des besoins de l’organisme, une bonne connaissance des systèmes d’informations).

2. Il doit disposer de moyens suffisants pour exercer la fonction de DPO (accessibilité aux informations utiles; disponibilité; temps suffisant réaliser ses missions; moyens matériels et humains adéquats).

3. Il doit agir en toute indépendance (il ne doit pas exister de conflit d’intérêt en cas de cumul de fonction de DPO avec une autre fonction, absence de sanction dans le cadre de son activité de DPO, absence d’instruction hiérarchique dans le cas de son activité de DPO, absence d’instruction hiérarchique dans le cas de son activité de DPO…).

Enfin, il est nécessaire de déclarer son DPO auprès de son autorité de contrôle compétente. Dans le cas de la France, la CNIL a crée une déclaration en ligne.

Trouvez un DPO près de chez vous

A la recherche d'un DPO ? Nous mobilisons notre réseau de partenaires pour vous

Trouver un DPO près de chez vous
  • DATA LEGAL DRIVE collecte et traite vos données personnelles aux fins de (i) répondre à vos demandes de démonstration de nos services, de mise en contact et/ou de (ii) vous faire parvenir des informations sur nos services, notre actualité et la protection des données personnelles. Veuillez prendre connaissance de notre Politique de confidentialité pour plus d'informations sur les traitements de données que nous réalisons et les droits dont vous disposez sur vos données personnelles.