Introduction

L’entrée en vigueur du RGPD a bouleversé la réglementation relative au traitement des données personnelles, notamment au sein des entreprises. Outre de nombreuses exigences en matière de sécurité et des droits des personnes dont les données sont traitées, le RGPD impose également la désignation d’un DPO au sein de certaines entreprises.

Est-ce obligatoire de nommer un DPO ?

A quoi sert un DPO ?

Le DPO (Data Protection Officer) a pour rôle de veiller au respect du RGPD dans une entreprise et de manière plus générale, d’accompagner les professionnelles dans le traitement des données personnelles.

Ses principales missions sont de vous informer et de vous conseiller dans l’adaptation et l’utilisation des outils numériques, notamment au niveau du traitement des données personnelles. Pour cela, il peut être amené à mener une analyse d’impact afin d’évaluer les différents risques et d’y remédier.

Il a également pour rôle de s’assurer de la mise en conformité RGPD de votre entreprise. Enfin, il est le principal interlocuteur des personnes concernées par le traitement de leurs données par votre entreprise en cas de réclamations et fait le lien avec la CNIL en cas de contrôle par celle-ci.

La nomination d’un DPO est-elle obligatoire ?

Suite à l’entrée en vigueur du RGPD, la désignation d’un DPO au sein des entreprises devient obligatoire dans un certain nombre de cas.

Le RGPD prévoit 3 cas de figure pour lesquels la désignation d’un DPO est requise :

  • Lorsque le traitement des données est effectué par un organisme public.
  • Lorsque les activités de base de l’entreprise impliquent un suivi régulier et systématique à grande échelle des personnes concernées.
  • Lorsque les activités de base du responsable de traitement ou du sous-traitant impliquent un traitement à grande échelle de données sensibles (données de santé, biométrie, opinion politique, condamnation pénale etinfractions, etc).

Une fois le DPO désigné par l’organisme, un formulaire en ligne doit être rempli afin d’officialiser sa qualité de DPO auprès de la CNIL.

Mon entreprise est-elle concernée par cette règle ?

Les 3 notions clés à regarder pour savoir la nomination d’un DPO est obligatoire sont les suivantes :

  • L’activité de base : est-ce que l’activité est essentielle pour atteindre les objectifs de l’entreprise ?

Exemple : L’activité de base d’une clinique consiste à prodiguer des soins aux patients qu’elle accueille. Cette activité implique le traitement de données personnelles liées à leur santé.

  • L’échelle : cela s’évalue au cas par cas. Il faut prendre en compte le nombre de personnes concernées (en valeur relative par rapport à la population concernée), le volume de données, la durée du traitement, l’étendue géographique.

Exemple de traitement à grande échelle : fournisseur téléphonie ou internet, moteur de recherche, hôpitaux, assurances et banques, etc.

Exemple de traitement à petite échelle : médecin de quartier, avocat exerçant à titre individuel, etc. Dans tous ces cas, la désignation d’un DPO est facultative.

  • Le suivi régulier et systématique : le suivi est continu et récurrent, il se produit de manière méthodique et dans le cadre d’une stratégie.

Exemples : activité marketing, géolocalisation, programme de fidélité, etc.

Même en dehors des 3 cas précédemment évoqués, nommer un DPO est fortement recommandé dès que vous rencontrez des problématiques liées à la protection de données personnelles. La violation des données personnelles est un risque réel. Avoir recours à une personne spécialisée dans ce domaine est le meilleur moyen de s’en prémunir. Par ailleurs, en cas de contrôle, la CNIL peut vous demander de justifier la non-désignation d’un DPO, même si cela vous est facultatif. Par conséquent, il est essentiel de documenter les raisons qui ont motivé ce choix de ne pas en nommer un afin de pouvoir le justifier si nécessaire.

Comment nommer son DPO ?

Qu’est-ce qu’un bon DPO ?

Lorsque vous désignez un DPO, assurez-vous que ces 3 conditions sont remplies :

  • Compétences : il a une expertise à la fois juridique et technique en matière de protection des données personnelles, ainsi qu’une bonne connaissance du secteur d’activité, de l’organisation interne et des besoins de l’entreprise.
  • Moyens suffisants : il dispose du temps et des moyens humains et matériels nécessaires pour exercer ses missions. Il a accès aux informations utiles. Il est impliqué en amont des projets susceptibles de traiter des données personnelles.
  • Indépendance: s’il cumule des fonctions, celles-ci ne doivent pas entrainer des situations de conflits d’intérêts. Il doit être capable de rendre compte de ses actions au plus haut niveau de direction de son entreprise.

Quelles sont les questions à se poser ?

  • La personne désignée connait-elle les enjeux ? A-t-elle les connaissances juridiques et techniques nécessaires à ce poste ?
  • Quelles sont mesures envisagées et mises en place pour garantir l’indépendance du DPO ?
  • Le DPO pourra-t-il accéder aux informations utiles facilement ?
  • Y a-t-il des moyens de contact permettant aux personnes concernées de joindre facilement le DPO ?

DPO interne ou externe ?

De nombreuses entreprises préfèrent recourir à un DPO externe, ce qui signifie externaliser la fonction de DPO. Le choix de recourir à un DPO interne ou bien externe nécessite une réflexion car tous deux présentent des avantages différents.

Le DPO en interne  : Il aura une meilleure connaissance de l’entreprise et de son secteur d’activité. Il sera plus réactif en cas de besoin d’intervention immédiate.

DPO externe : Cela permet aux PME et TPE de bénéficier de l’expertise d’un professionnel qualifié sans avoir à embaucher un employé à plein temps. De plus, le fait d’opter pour un DPO externe minimise les risques de conflits d’intérêts qui pourraient exister. En effet, les responsabilités d’un employé interne nommé DPO peuvent entrer en conflit avec sa nouvelle mission. Enfin ce sont des professionnels, le plus souvent agréés, experts dans le domaine de la Big Data et qui ont accès à des outils spécialisés.

FAQ

Que risque une entreprise qui ne désigne pas de DPO ?

Si le DPO est obligatoire, vous vous exposez à des sanctions de la CNIL : rappel à l’ordre, injonction de se mettre en conformité, amende (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel)

Un DPO doit-il justifier d’un diplôme particulier ?

Non ce n’est pas requis. Cependant vous devez vous assurer qu’il dispose des connaissances spécialisées nécessaires (formation ou expérience dans les domaines du droit et/ou de la sécurité informatique).

Le DPO est-il responsable en cas de non-conformité ?

Le DPO n’est pas pénalement responsable de la conformité de son organisme. Cependant, comme n’importe quel employé, il peut voir sa responsabilité engagée s’il aide à enfreindre ou enfreint lui-même la loi de manière intentionnelle.

Vote: 5.0/5. Total de 1 vote.
Chargement...
Sommaire
  • A quoi sert un DPO ?
  • La nomination d'un DPO est-elle obligatoire ?
  • Mon entreprise est-elle concernée par cette règle ?
  • Comment nommer son DPO ?
  • FAQ
x
Legalstart, partenaire du Blog du Dirigeant, répond à tous vos besoins juridiques
  • Simplicité
    Simple
  • Economie
    Économique
  • Rapidité
    Rapide
Vous souhaitez un accompagnement pour lancer votre entreprise ?

Créer votre entreprise

Un changement d’adresse ? Une augmentation de capital ?

Modifier vos statuts

Besoin de protéger votre marque et logo d’un potentiel concurrent ?

Déposer votre marque

Avis Trustpilot Legalstart

Commentaires
0 commentaires
Vote: 5.0/5. Total de 1 vote.
Chargement...
5/5