Qui est le DPO : cet architecte du RGPD ?

BLOG / Droit des affaires et des sociétés

Qui est le DPO : ce pilote de la mise en conformité du RGPD ?

Le Délégué à la Protection des Données personnelles (DPO) est un véritable expert de la mise en conformité au RGPD pour l’entité (organisme) responsable de traitement ou sous-traitant, publique ou privée qui l’aura désigné. Il a pour mission d'informer, de conseiller et de contrôler le traitement des données et le respect du RGPD. Découvrez l'un des grands architectes de la réforme européenne sur la gestion des données.

Dans quel cas la désignation du DPO est-elle obligatoire ?

La désignation du DPO est obligatoire dans 3 cas par :
  • Les autorités ou les organismes publics,
  • Les organismes privés dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, 
  • Les organismes privés dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
A défaut de désignation (si obligatoire), le responsable de traitement ou le sous-traitant sont susceptibles d’être sanctionnés d’une amende de la CNIL pouvant s’élever à 10 millions d’euros ou 2% du chiffres d’affaires annuel mondial de l’entreprise.

Quelles sont les 4 grandes missions du DPO ?

  1. L'information : le DPO informe le responsable de traitement ou le sous-traitant ainsi que les employés sur les obligations en droit de la protection des données personnelles.
  2. Le conseil : le DPO conseille sur tout projet de traitement, sur la réalisation de l’analyse d’impact et en vérifie l’exécution.
  3. Le contrôle : le DPO contrôle le respect du RGPD notamment par des actions de sensibilisation, de formation et des audits.
  4. La coopération : il coopère avec la CNIL ; ses coordonnées publiées sont communiquées à la CNIL. Il est le lien entre l’entité qui l’a désigné et la CNIL.
L’entité, responsable de traitement ou sous-traitant, qui désigne un DPO doit d’une part, s’assurer que ce dernier soit associé en temps utile à toutes les questions relatives à la protection des données personnelles et d’autre part, doit lui fournir les ressources nécessaires à la réalisation de ses missions.

Connaissez-vous les principales compétences du DPO ?

Pouyr pouvoir mener à bien la mission qui lui ai confiée, le DPO doit :
  • avoir des qualités professionnelles c’est-à-dire des connaissances spécialisées du droit et des pratiques relatives à la protection des données ;
  • avoir également les capacités d’accomplir ses missions ;
  • être un bon communicant  (selon le G29);
  • avoir une bonne connaissance du secteur d’activité et de l’organisation de l’entité qui l’a désigné (selon le G29).

Comment garantir l'ndépendance du DPO ?

Le DPO peut être une personne interne ou externe à l’entité soumis à une obligation de confidentialité ou au secret professionnel. Il peut également être mutualisé c’est à dire désigné par un groupe d’entreprises. Il doit avant tout être indépendant :
  • Pas de conflit d’intérêt et une appréciation au cas par cas
Le DPO doit être indépendant dans l’exercice de ses missions. Il ne peut pas être responsable de traitement c’est-à-dire déterminer les finalités et les moyens du traitement.
  • Pas d’instruction dans l’exercice des missions
Le DPO ne reçoit pas d’instruction dans l’exercice de ses missions et rapporte directement au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant.

Quelle est la responabilité du DPO ?

Le DPO ne peut pas être relevé de ses fonctions ou pénalisé par l’entité qui l’a désigné, responsable de traitement ou sous-traitant, pour l’exercice de ses missions. En cas de manquement de l’entité à l’obligation de mise en conformité, le DPO ne peut donc être mis en en cause dès lors qu’il a accompli sa mission de conseil auprès de celle-ci. Il appartient donc à l’entité, responsable au regard du RGPD, de s’assurer de sa conformité aux dispositions du RGPD et de documenter cette conformité.

Découvrez notre offre de formation sur le thème Risques et conformité de l'entreprise.
 

Formations en droit des affaires et des sociétés

Formation

Règlement européen « Données personnelles » (RGPD) : être en conformité 

Réforme de la formation 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze