Nommer un DPO : chef d’orchestre de la protection des données personnelles
Fiche pratique
INFOREG

Le Délégué à la protection des données (DPD), ou Data protection officer (DPO) en anglais, est un nouvel acteur en matière de protection des données personnelles, et un atout stratégique pour comprendre et respecter les obligations imposées par le règlement général sur la protection des données (RGPD). 

Qu’est-ce qu’un délégué à la protection des données (DPO) ?

Le DPO est chargé de s’assurer du respect des obligations prévues par le règlement européen et donc de la conformité en matière de protection des données personnelles au sein de son entreprise.
Dans le cadre de ses fonctions il doit : 

  • informer et conseiller l’entreprise l’ayant désigné et ses employés ainsi que les éventuels sous-traitants ;
  • évaluer et contrôler le respect de la réglementation relative aux données personnelles ;
  • conseiller l’entreprise sur la réalisation d’une analyse d'impact sur la protection des données et en vérifier l’exécution ;
  • en tant que point de contact, coopérer avec l’autorité de contrôle (CNIL) qui dispose de ses coordonnées ; 
  • Précision : ses coordonnées sont publiées par le Responsable de traitement (RT) ou le Sous-traitant (ST).
  • répondre aux demandes de l’autorité de contrôle ainsi qu’à celles des personnes concernées qui peuvent le saisir pour toute question relative au traitement de leurs données et à l’exercice de leurs droits.
La démarche de mise en conformité au RGPD engage toute l’entreprise via des programmes de sensibilisation et de formation pilotés par le DPO.

 

Afin d’accompagner l’entreprise dans la mise en place des obligations imposées par le RGPD, le DPO doit notamment : 

  • s’informer sur le contenu des nouvelles obligations ;
  • sensibiliser les décideurs sur l’impact de ces règles ;
  • réaliser l’inventaire des traitements de données de l’entreprise ;
  • concevoir des actions de sensibilisation ;
  • élabore le plan d’action et se charge de vérifier son exécution ;
  • piloter la conformité en continu.

La désignation d’un DPO est-elle obligatoire ? 

Une entreprise doit obligatoirement nommer un DPO lorsque ses activités consistent à traiter à grande échelles des données personnelles qui implique :
  • un suivi régulier et systématique des personnes ;
  • de traiter des données sensibles (origine raciale ou ethnique, données biométriques, santé ...) ;
  • de traiter des données relatives à des condamnations pénales et infractions.

Cette désignation peut donc concerner aussi bien des grandes comme des petites et moyennes entreprises. 
Le Responsable de traitement (RT) est en charge de la nomination du DPO.

 

Même si l’entreprise n’est pas dans l’obligation de désigner un DPO, il est dans tous les cas fortement recommandé d’en désigner un. 

Comment désigner un DPO ? 

Il n’existe pas de profil type, mais le DPO doit être désigné sur la base de ses qualités professionnelles. 

Il doit en particulier disposer de connaissances juridique et informatique ainsi qu’en protection des données.

En pratique il doit pouvoir exercer ses missions en toute indépendance et confidentialité, et sans conflits d’intérêts avec ses autres missions. 

L’existence d’un conflit d’intérêts est appréciée au cas par cas. 

Enfin, le DPO peut être désigné :

  • en interne parmi les collaborateurs, 
  • en externe 
  • ou bien être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Mis à jour le 07/12/2021