Ressources humaines

DPO : quelles sont les obligations ?

Le DPO

 

L'évolution des technologies de l'information et de la communication a inévitablement entraîné la création de nouveaux métiers dont fait partie le DPO. Si ce métier est de plus en plus répandu en Europe, de nombreuses personnes ne peuvent cependant pas dire avec exactitude quelles sont les obligations d'un DPO. Nous vous parlerons clairement dans ce billet des obligations de ce professionnel.

 

 

Qu'est-ce qu'un DPO ?

 

Le poste de DPO (Data Protection Officer) est aujourd'hui d'une importance capitale pour la sauvegarde de la vie privée des individus dont les données sont collectées et analysées. Celui qu'on désigne encore par « Délégué à la protection des données » a pour rôle d'assurer la protection des données personnelles traitées par une structure publique ou privée. Il y a quelque temps encore, avant l'apparition du RGPD, certains organismes employaient des travailleurs pour jouer le même rôle, mais de manière moins importante. Ces derniers occupaient alors le poste de CIL (Correspondant Informatique et Libertés). Cela dit, l'appellation DPO est relativement récente et désigne dans une structure, s'il est interne, mais il peut aussi être externe, celui qui est chargé d'assurer le respect des étapes de mise en conformité au RGPD au sein de l'organisme qui l'emploie. De plus, le DPO joue un rôle d'intermédiaire entre la structure en question et les autorités régionales qui s'occupent de la protection des données.

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est une loi qui protège le traitement et l'utilisation des données à caractère personnel dans toute l'Europe. Le RGPD est entré en vigueur dans tous les pays membres de l'Union européenne à partir du 25 mai 2018. Sa légifération s'inscrit dans le cadre de la responsabilisation des structures de traitement de données personnelles et du renforcement des droits des personnes dont les données sont étudiées.

 

Obligation du data protection officer

 

De quoi s'occupe le Data Protection Officer ?

 

Le DPO joue un rôle important dans les structures qui traitent et recueillent les données personnelles d'individus. À cet effet, certains rôles lui sont assignés à titre de cahier des charges. Ainsi donc, les occupations essentielles d'un DPO peuvent se résumer à certaines grandes lignes.

 

Effectuer un contrôle et informer son employeur

Le DPO a pour rôle de veiller au respect du règlement et du droit national applicable en matière de protection des informations personnelles. De plus, il se doit de fournir des renseignements utiles à l'organisme qui l'emploie afin de lui éviter les transgressions involontaires des règles du RGPD.

 

Réaliser des analyses d'impact

Un délégué à la protection des données a aussi pour mission de soumettre des propositions d'analyse d'impact pour la protection des données et de veiller à leur exécution. Pour ce faire, le DPO utilise le PIA (Privacy Impact Assessment), un dispositif mis au point par le RGPD. Celui-ci permet d'analyser les risques liés à la sécurité des données personnelles susceptibles de porter atteinte aux droits et libertés des personnes dont les données sont enregistrées.

 

Garantir la conformité au RGPD

Le DPO est chargé de veiller à la mise en œuvre de la conformité au RGPD. Il s'agit de la sécurisation des données au sein de l'organisme pour le compte duquel il exerce sa fonction. Les dispositions du règlement général sur la protection des données doivent être respectées à la lettre par les structures concernées sous peine de poursuites judiciaires. Celles-ci peuvent parfois aboutir à de lourdes sanctions et amendes.

 

Servir d'intermédiaire entre son employeur et l'autorité de contrôle local

Dans ce contexte de sauvegarde de la vie privée, le DPO est appelé à jouer un rôle d'intermédiaire entre l'organisme qui l'emploie et l'autorité de contrôle régional du RGPD. Ainsi, il s'assure que la structure qui l'emploie entretienne de bonnes relations avec cette dernière. De plus, lorsque de nouvelles informations doivent être passées par l'autorité de contrôle local à l'égard de la structure, ce sera au DPO de les répertorier.

 

Embauche obligatoire d'un DPO : les concernés

 

Il est désormais exigé pour toutes les sociétés publiques et les organismes d'avoir un Délégué à la Protection des Données personnelles. La naissance du métier de DPO est directement liée au RGPD qui exige qu'une structure ait recours à un DPO lorsque :

  • Un organisme public à l'exception des structures juridictionnelles se charge du traitement de données à caractère personnel ;
  • Les personnes concernées par les opérations de traitement doivent faire l'objet d'un suivi régulier et systématique ;
  • Le responsable du traitement des données et le sous-traitant sont appelés à procéder à un traitement à grande échelle.

Sur le dernier point, cela peut être de l'ordre de catégories de données sensibles ou d'informations liées à des infractions ou des condamnations pénales. Dans ce cas, le DPO procédera à un suivi de données personnelles à grande échelle. Pour les entreprises privées, il peut être difficile de faire passer son idée aux clients si ces derniers n'ont pas l'assurance que leur vie privée sera respectée.

 

Obligations rgpd Dpo

 

Quelles sont les compétences du DPO ?

 

Le métier de DPO n'est soumis à aucune condition d'exercice et ne dispose d'ailleurs pas encore de véritable formation. C'est pour cette raison que ce métier est accessible à divers profils. Cependant pour être capable de répondre aux exigences de ce poste il est utile de :

  • Disposer de compétences pointues en NTIC ;
  • Disposer de compétences en Droits de l'Homme.

À titre illustratif, une entité qui met en œuvre des traitements à grande échelle doit privilégier le profil d'une personne disposant d'une forte expertise en matière de conformité aux réglementations relatives à la protection des données personnelles. En outre, le DPO doit disposer de certains moyens pour mener à bien sa mission. Ceux-ci peuvent se résumer à avoir :

  • Une accessibilité aux informations indispensables ;
  • Une accessibilité aux ressources matérielles et humaines.

Par ailleurs, en plus d'être tenu à la confidentialité, le DPO devra agir de façon indépendante.

Le DPO est très sollicité aujourd'hui et s'occupe principalement de tout ce qui aura rapport avec le respect et l'application des articles du RGPD dans une structure publique ou privée. Il devra donc pour cela, avoir des compétences dans le domaine de la protection de données personnelles, mais aussi dans le domaine juridique.