DPO et RGPD : quel rôle pour le DPO ?
Le RGPD (règlement général pour la protection des données) institue un nouveau métier, ou plus précisément un nouveau rôle au sein de l’entreprise : le DPO. Le sigle signifie Data Protection (ou Privacy) Officer, soit délégué à la protection des données en français. Ce rôle ne correspond en réalité pas à un métier en tant que tel, mais plutôt à une fonction, bien que de nombreuses entreprises et administrations recrutent un DPO à plein temps.
Le DPO est la personne RGPD de la structure. Sa mission fondamentale est de s’assurer de la conformité de l’entreprise au RGPD. Il est à la fois chargé de mettre en place les chantiers et process adéquats pour assurer la sécurité des données traitées par l’entreprise, mais aussi d’être le contact privilégié de la CNIL dans les éventuels échanges entre le gendarme du RGPD et l’entreprise.
Quelles sont les entreprises concernées par l’obligation de nommer un DPO ? Êtes-vous tenu d’embaucher une personne au poste de DPO ? Quelles sont les missions concrètes du DPO ? Quelles obligations encadrent le statut du DPO ?
Qui est concerné par l’obligation de nommer un DPO selon le RGPD ?
L’article 37 du RGPD précise les cas dans lesquels la nomination d’un DPO est obligatoire. Outre les administrations qui, si elles traitent des données personnelles, doivent nommer un DPO, les entreprises sont concernées dans deux cas de figure, en fonction de leur activité :
- Tout d’abord, les activités comprenant des opérations de traitement qui impliquent un suivi régulier et systématique “à grande échelle” des personnes concernées ;
- Ensuite, les activités qui impliquent un traitement “à grande échelle” de données dites sensibles. Les données sensibles concernent par exemple des données financières, judiciaires ou de santé, des informations ethniques ou sexuelles sur les personnes concernées.
Dans les deux cas, la notion de traitement “à grande échelle” est importante, bien qu’aucun seuil minimal ne soit pas précisé dans le RGPD. Concrètement, cela signifie que les grands groupes sont concernés, mais aussi des PME visées par le RGPD.
D’un point de vue plus concret, plusieurs activités peuvent impliquer des traitements des données qui exigent la nomination d’un DPO. C’est le cas notamment des sites d’e-commerce qui par nature traitent les données de leurs utilisateurs. On peut également citer les activités de santé ou d’assurances, ou encore les agences immobilières concernées par le RGPD et pour lesquelles la CNIL a renforcé son contrôle.
Autrement dit, de nombreuses entreprises sont concernées par l’obligation de désigner un DPO. Cependant, il est à noter que ce poste n’est pas nécessairement un salarié de l’entreprise. Il peut également être un prestataire externe, dont c’est le métier. La mission de DPO peut également être endossée par un salarié qui cumule cette activité avec une autre fonction, à condition que celle-ci n’induise pas de conflit d’intérêt avec son rôle de garant du RGPD.
Quelles sont les missions du DPO pour la conformité au RGPD ?
On l’a dit, le RGPD désigne le DPO comme son garant au sein de l’entreprise. Autrement dit, il est le chef d’orchestre des mesures nécessaires au maintien de la conformité au RGPD dans l’entreprise.
En pratique, le DPO a plusieurs rôles. Premièrement, il informe et sensibilise les différents métiers, en interne, à la protection des données. Il diffuse des contenus dans la société pour assurer que ses membres sont formés aux bonnes pratiques de sécurité.
Ensuite, en lien avec les différents services de l’entreprise et notamment avec la direction et le RSSI, il met en place des solutions de mise en conformité ou de maintien en conformité avec le RGPD. Cela peut par exemple prendre la forme d’une charte de protection des données, mais correspond également à des mesures très concrètes de protection et de traitement des données. Pour en savoir plus sur les mesures pratiques de mise en conformité, vous pouvez consulter notre article sur le RGPD pour les nuls.
Enfin, il est le contact privilégié de la CNIL qui a un rôle à la fois de gendarme du RGPD, mais aussi d’accompagnateur pour faciliter la mise en conformité des entreprises, selon leurs tailles et leurs ressources.
Pour mener à bien ces missions, le DPO a par conséquent besoin d’une autonomie importante et d’une indépendance par rapport aux objectifs de l’entreprise. Il doit avoir accès aux plus hauts échelons de la direction. Cela est évidemment également vrai si le DPO est externe à l’entreprise. Enfin, il doit avoir connaissance des différents partenaires de l’entreprise, notamment, car la question de la sous-traitance est centrale dans le RGPD.
Ainsi, le DPO a un rôle central dans l’application du RGPD dans les entreprises. Ce n’est pas sa seule fonction. La gestion de la donnée est en effet un élément crucial de l’activité de la société, à la fois relativement contraignante et source d’opportunités. Le DPO tient dans ces transitions un rôle important. Il peut notamment mettre en place des solutions innovantes pour améliorer la gestion des données dans l’entreprise.
Pour aller plus loin, nous avions interviewé Philippe Gabillault sur la question du DPO est-il le nouveau RSSI ?
Better Seald than sorry.