Data Protection Officer (DPO)

Le rôle du DPO

Le DPO (Data Protection Officer) fait référence à la nomination d’un délégué à la protection des données personnelles. Cette nomination représente l’une des mesures phares du Règlement Général sur la Protection des Données (RGPD). Mais cette nomination doit se faire sous certaines conditions. De plus, le délégué doit être associé d’une manière appropriée et en temps utile, à l’ensemble des questions relatives à la protection des données à caractère personnel.

Nomination du DPO dans le cadre du RGPD

Le DPO prend le relais du CIL, en veillant à apporter une amélioration et une évolution de cette fonction. Sa nomination n’est néanmoins possible que sous certaines conditions spécifiques. En effet, l’article 37 du Règlement stipule que les sociétés et administrations qui peuvent disposer d’un DPO sont celles dont le traitement a été effectué par une autorité publique, ou même un organisme public, excepté les juridictions qui agissent dans l’exercice de leur fonction juridictionnelle. Cette nomination est également indispensable si les activités de base du responsable du traitement ou du sous-traitant nécessitent un suivi régulier et systématique à grande échelle des personnes concernées. De plus, si les activités de base du responsable du traitement ou du sous-traitant sont d’une manière ou d’une autre liées à la manipulation de données visées par l’article 9 du Règlement ou si les données à caractère personnel sont relatives à des condamnations pénales et infractions visées à l’article 10, il faudra nommer un DPO.

Quel est le rôle du DPO et quelles sont ses fonctions ?

D’une façon générale, la nomination d’un DPO doit se faire lorsqu’il y a un suivi important, régulier et systématique de données personnelles, et à fortiori si elles sont sensibles. Le DPO peut être un salarié ou un prestataire de service. Il peut travailler tant à temps partiel qu’à temps complet. Le DPO détient un rôle transversal, il a un regard sur l’ensemble des fonctions de l’entreprise, que ce soit la direction générale, le marketing, les RH, etc. Si le DPO constate qu’une pratique n’est pas conforme au RGPD, il se trouve dans l’obligation d’en parler. Le DPO est perçu comme le chef d’orchestre de la conformité qui se charge d’informer et de conseiller le responsable de traitement ou sous-traitant, mais aussi les employés.

Le DPO devra toujours se tenir au courant des nouvelles obligations. C’est à lui d’assister les décideurs sur les conséquences des traitements et de s’assurer de l’inventaire des traitements. Le délégué doit également pouvoir concevoir des actions de sensibilisation et piloter en continu la conformité. On attend aussi du DPO qu’il soit en mesure de bien s’impliquer dans les problématiques liées à la protection des données personnelles. C’est d’ailleurs la raison pour laquelle, il est indispensable de lui donner tant les ressources que le temps nécessaire pour qu’il puisse accomplir ses missions et veiller à l’entretien de ses connaissances spécialisées. Le DPO ne peut être pénalisé ou relevé de ses fonctions par les responsables des traitements des données.

Un DPO chez Octime

Soucieux de la protection des données personnelles dans le cadre du RGPD, le groupe Octime a nommé son DPO. Il assiste Octime dans les chantiers relatifs à la protection des données personnelles et pilote en continue la conformité.

En savoir plus…

Devenir DPO

Désignation du DPO

Lire le règlement européen sur la protection des données personnelles :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees