Comment choisir son DPO ?

Tout d'abord, il est important de rappeler que le RGPD indique les règles relatives à la nomination, aux fonctions et aux missions du Délégué à la Protection des Données (DPD) ou DPO en anglais (Data Protection Officer). Les lignes directrices concernant les délégués à la protection des données (DPO), adoptées le 13 décembre 2016, révisées et adoptées le 5 avril 2017, apportent des précisions quant à ces dispositions.

Qu'est-ce qu'un DPO ?

Le principe de la fonction de DPO n'est pas récent et remonte à la Directive 95/46/CE, précédant le RGPD. En synthèse, le DPO a un rôle central au sein de son entreprise pour favoriser le respect des règles de protection des données personnelles grâce à la mise en oeuvre d'un dispositif dans l'entreprise. Ce dernier doit englober l'ensemble des acteurs et métiers : RH, Finance, Informatique, Commerce, Production, etc. Le DPO est également le point de contact entre son entreprise, les clients, les fournisseurs, les partenaires et l'autorité de contrôle nationale.

Les critères de désignation du DPO sont donc déterminants quant à la réussite de ses missions, en rapport avec la nature de cette fonction et des missions clairement établies par le règlement.

Comment est désigné le DPO ?

Celle-ci est obligatoire pour l'ensemble des organismes, lorsqu'il y a suivi régulier et systématique à grande échelle de personnes concernées ou lorsqu'il y a traitement à grande échelle de données sensibles ou de données pénales. Un DPO unique peut être désigné pour plusieurs entreprises et il peut être externe.

Le niveau d'expertise du DPO doit être proportionné à la spécificité des données traitées par son entreprise. Il doit être désigné d'une part sur la base de qualités professionnelles (connaissances/pratiques juridiques, organisationnelles, capacités d'animation d'un dispositif lui permettant d'accomplir ses missions) et d'autre part sur la base de ses qualités personnelles ; le DPO doit disposer d'un haut niveau d'intégrité et de déontologie, à partir desquels il pourra développer, au sein de son entreprise, une véritable culture de protection des données personnelles.

Quelle est la fonction du DPO ?

Le DPO ou ses relais, doivent être associés à toutes les questions relatives à la protection des données personnelles dans l'entreprise. Il est recommandé de le consulter avant toute conception de projet impliquant un traitement de données. Ses avis doivent être pris en considération. Si une violation de donnée est constatée, le DPO doit en être immédiatement informé.

L'organisme doit aider son DPO en lui fournissant toutes ressources pour exercer ses fonctions (budget de fonctionnement qui peut par exemple servir à faire appel à conseil externe pour des analyses ponctuelles en cas de besoin, formation continue, accès au club DPO pour lui permettre d'échanger sur les bonnes pratiques avec ses autres homologues DPO, etc).

Le DPO ne doit recevoir aucune instruction en ce qui concerne l'exercice de ses missions, qu'il doit pouvoir mener en toute indépendance. Le responsable du traitement reste le seul responsable du respect de la législation sur la protection des données personnelles. Ainsi, le DPO ne peut subir des sanctions ou être relevé de ses fonctions pour l'exercice de ses missions.

La fonction de DPO peut être menée avec une autre fonction, à la condition que cela n'entraine pas de conflits d'intérêts. L'évaluation de situation de ce type doit être effectuée au cas par cas.

Quelles sont les missions du DPO ?

Le DPO doit s'assurer que son entreprise respecte les obligations du RGPD, au travers d'une collecte d'informations (inventaire des traitements), de mise en place de procédures et documents essentiels (privacy by design, notification de violation de données, politique de protection), de vérification de la conformité des traitements (audits) et de conseil auprès du responsable du traitement.

Le DPO doit coopérer avec l'autorité de contrôle et faire office de point de contact, afin de faciliter l'accès de l'autorité aux documents et informations nécessaires en cas d'audit. Le DPO peut également contacter l'autorité de contrôle pour demander son avis.

L'approche du DPO doit être fondée sur les risques, en tenant compte « de la nature, de la portée, du contexte et des finalités du traitement ».

Pour conclure, la fonction de DPO, au coeur du RGPD, est un élément central de la mise et du maintien en conformité de l'entreprise. Les modalités de son choix sont donc cruciales. A défaut de DPO intervenant dans un cadre réglementé, il est toujours recommandé de désigner un ou des collaborateur(s) en charge de la question des données personnelles dans l'entreprise.

Auteur

Cette définition vous a été donnée par, Moussa DAIM (DPO de Ellisphere), membre du Sncd (organisation professionnelle de la Data Marketing Industrie).