Actualités

Le  guide du DPO

Le  guide du DPOLa data, ça te parle. La protection des données, aussi. Ce n’est pas pour rien que tu ambitionnes d’être un expert du digital 😎. Du coup, si on te dit CNIL et RGPD, tu nous réponds… DPO, oui 🎉 ! Mais connais-tu réellement tous les tenants et les aboutissants de cette fonction désormais cruciale ? OK, dans le doute, on t’a préparé un dossier récap. Go !

Le DPO, c’est quoi ?

On va tout de suite commencer par 3 petites définitions de sigles, histoire d’avoir des bases communes :

  • RGPD : Règlement européen sur la protection des données ;
  • CNIL : Commission Nationale Informatique et Libertés ;
  • DPO : délégué à la protection des données (Data Protection Officer).

La CNIL définit le DPO comme un chef d’orchestre 🥁. Tu dois savoir que cette fonction (consacrée par le RGPD le 25 mai 2018) assure la protection des données à caractère personnel dans les organismes publics ou privés. D’ailleurs, ça doit te dire quelque chose : cette notion n’est en réalité pas si récente, elle existait sous le nom de Correspondant Informatique et Liberté (CIL).

Alors, pourquoi un DPO nous diras-tu ? Avant tout, pour veiller à la conformité du RGPD tout en conseillant et en accompagnant les organisations.

Le délégué à la protection des données est-il obligatoire ?

Désigner un délégué, obligatoire or not obligatoire ? That is the question 🧐. La réponse, mon cher Watson, c’est… Oui et non !

✅ Oui, dans les cas suivants (article 37.7 du RGPD) :

  • les organismes et les autorités du secteur public ;
  • les organismes dont l’activité principale les conduit à faire un suivi systématique et régulier des personnes (comme les opérateurs téléphoniques, les banques, les assurances, etc.) ;
  • les organismes qui ont une activité de base les conduisant à traiter à grande échelle des données sensibles.

↪️ Dans les autres cas, la CNIL encourage vivement la désignation d’un délégué à la protection des données.

Les principales missions du DPO

Tu veux savoir ce qui attend un délégué à la protection des données ? On te donne un aperçu 🦸.

#1 Assurer le pilotage de la conformité

C’est THE mission du DPO. Il doit en effet concevoir et piloter une démarche de mise en conformité. Pour cela, il convient de :

  • définir et prioriser les actions à mener ;
  • initier des procédures internes ;
  • cartographier les traitements ;
  • gérer les risques ;
  • documenter la conformité.

#2 Conseiller et informer

Outre une veille constante pour s’assurer de la conformité, le DPO a également une mission importante de conseil et d’information. Il doit en effet sensibiliser les collaborateurs sur la protection des données mais aussi diffuser une culture RGPD au sein de l’organisation. C’est pourquoi il est d’ailleurs recommandé de structurer et d’animer un réseau, que ce soit en interne ou en externe.

Les missions du DPO le conduisent également à conseiller sur la réalisation d’une analyse d’impact portant sur la protection des données (et bien évidemment à vérifier ensuite son exécution).

#3 Être l’interlocuteur unique

Le DPO assure le lien avec l’autorité de contrôle 🤝. Il doit à la fois être son point de contact mais aussi coopérer avec elle en toute circonstance et en toute transparence.

📢 Les missions du DPO en résumé :

  • informer et conseiller (l’organisme et les collaborateurs) ;
  • veiller au respect du droit national et du règlement en matière de protection des données ;
  • être l’interlocuteur des personnes concernées par la protection des données personnelles ;
  • assurer le lien et la coopération avec la CNIL.

Mais alors, qui peut être désigné comme délégué à la protection des données 😳 ?

Le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du RGPD). Il est à déclarer auprès de l’autorité de contrôle compétente, à savoir en France auprès de la CNIL.

Il est important de vérifier qu’il dispose des compétences, des moyens et du statut nécessaires.

Les compétences du DPO

Pour accéder à la fonction de DPO, il convient d’avoir une solide connaissance du secteur d’activité et de l’organisation interne. Une expertise technique et juridique en matière de protection des données personnelles est également requise.

Les moyens dont doit disposer le DPO

Pour mener à bien ses missions, le DPO doit avoir le temps nécessaire ainsi que les moyens humains et matériels suffisants. Il doit pouvoir accéder aux informations utiles, être facilement identifiable et joignable par les collaborateurs concernés.

L’indépendance du DPO

S’il y a bien une condition sine qua non qui caractérise le statut du DPO, c’est son INDÉPENDANCE (tu dois d’ailleurs savoir que, selon une étude du ministère du Travail de 2020, 75 % des DPO déclarent travailler seul). En résumé, cela veut dire :

  • pouvoir présenter ses missions et ses actions à la direction de l’organisme ;
  • ne pas être en situation de conflit d’intérêt (en cas de cumul lors de sa fonction de DPO avec une autre) ;
  • ne pas avoir de sanction lors de l’exercice de ses missions (il ne peut être tenu pour responsable en cas de non-conformité de l’organisme).

Le DPO est aussi tenu par une obligation de confidentialité. Tu veux en savoir encore plus sur le DPO ? Ça tombe bien la CNIL a sorti un guide pratique canon. Et puis n’oublie pas qu’à WIS, on va aussi te former et te préparer à devenir DPO si le cœur t’en dit. Car tu dois savoir que cette fonction a encore de beaux jours devant elle : le DPO occupait la première place des métiers les plus recherchés en France sur LinkedIn en France en 2020 😍.

France