RGPD #4 – Qui est le DPO et qui doit s’en doter ?
Le Délégué à la protection des données (DPO) a été pensé par le RGPD (Règlement général pour la protection des données personnelles), comme le relai chez les responsables de traitement, de la réglementation sur la protection des données.
-
Obligatoire ou pas ? (article 37)
La nomination d’un DPO est obligatoire dans plusieurs hypothèses :
- Si le responsable de traitement ou son sous-traitant dépend du secteur public.
- Si le responsable de traitement ou son sous-traitant dépend du secteur privé, le DPO n’est obligatoire que lorsque les traitements de données sont nécessaires pour exercer l’activité principale du responsable (mais pas pour ses activités support) et qu’ils exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Même quand elle n’est pas obligatoire, la désignation d’un DPO est conseillée pour faciliter l’implémentation de la réglementation au sein des opérateurs de traitement, et s’assurer de son respect au fil du temps.
-
Quel est son rôle ? (article 39)
Il intervient dans chaque opération qui pourrait impacter la vie privée des personnes dont les données sont traitées, au travers de missions variées :
- Il forme et conseille les opérateurs de traitement et leurs employés sur leurs obligations et les outils de protection des données à mettre en place.
- Il contrôle le respect du RGPD et des procédures internes prises en application de ce texte.
- Il a un rôle central dans la conduite des études d’impact obligatoires en amont de certains traitements de données.
- Il est l’interlocuteur privilégié de l’autorité de contrôle (la CNIL), notamment lors des consultations préalables qui sont obligatoires lorsque l’étude d’impact a révélé que le traitement présentait un risque.
-
Comment le choisir ? (articles 37 et 38)
Deux qualités essentielles sont requises du DPO :
- D’une part, il doit posséder les compétences juridiques et techniques adéquates. Le niveau d’expertise du DPO est proportionnel à la sensibilité et à la complexité des données traitées. Ses compétences portent non seulement sur la réglementation de protection des données, mais également sur le secteur d’activité de l’opérateur auprès duquel il intervient.
- D’autre part, le DPO doit être indépendant, ce qui exclut d’emblée toute personne qui joue déjà un rôle dans la mise en place des traitements de données.
Dès lors qu’il possède ces deux qualités, peu importe que le DPO soit un acteur interne ou externe. Recourir à un tiers extérieur peut d’ailleurs être une solution économiquement satisfaisante puisque le DPO peut être le même pour plusieurs opérateurs de traitement qui en mutualisent les coûts plutôt que d’assumer chacun un DPO en leur sein.
ALATIS est prêt à vous accompagner dans votre mise en conformité avec le RGPD, contactez-nous : contact@alatis.eu
Voir aussi :
This post is also available in: Anglais
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !