5 questions à se poser avant de nommer un DPO

Par Jean-Philippe SOUYRIS et Bastien EYRAUD

Le délégué à la protection des données est chargé de piloter la conformité au règlement européen sur la protection des données (RGPD) au sein de l’entreprise qui l’a désigné. Le DPO doit s’assurer que les traitements de données à caractère personnel sont conformes au RGPD. En effet, son rôle comprend à la fois une mission d’information, de sensibilisation et de contrôle.

1. Dois-je nommer un DPO ?

Vous devez obligatoirement nommer un DPO si dans le cadre de vos activités principales vous traitez des données à caractère personnel de la manière suivante :

• Vous traitez des données à caractère personnel en grande quantité ou concernant un grand nombre de personnes.

• Vous traitez des données personnelles de manière continue ou à intervalles réguliers et conformément à une méthode préétablie, par exemple vous effectuez du profilage sur internet ou de la publicité ciblée.

• Vous traitez des données sensibles (par exemple, des données qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques, des données biométriques, de santé ou des données concernant la vie ou l’orientation sexuelle d’une personne).

• Vous êtes un organisme ou une autorité publique.

Cependant, la CNIL (autorité de contrôle chargée des données personnelles), encourage les entreprises traitant des données à caractère personnel à nommer un DPO, même dans les cas où elles n’y seraient pas obligées par la loi.

En effet, disposer d’un DPO permet aux entreprises d’avoir une personne de référence, dédiée aux questions liées aux données personnelles.

Cela permet également de créer la confiance au sein du réseau de l’entreprise, que ce soit auprès des clients, des collaborateurs, des fournisseurs ou des sous-traitants.

2. Quelles qualités professionnelles doit avoir mon DPO ? 

Evolution du Correspondant Informatique et Libertés, le DPO dispose de prérogatives et missions renforcées notamment en matière de conseil, de contrôle et de sensibilisation en interne.

Pour cela, il doit avoir des connaissances juridiques et pratiques en matière de protection des données. Ainsi, le DPO doit disposer d’une expertise spécialisée aussi bien en droit des données à caractère personnel qu’en technologie de l’information.

Le DPO doit avoir une connaissance approfondie du RGPD, mais également être en mesure de comprendre les opérations de traitement effectuées, les technologies de l’information, la sécurité des données, et connaitre le secteur d’activité de l’entreprise.

3. Dois-je faire certifier mon DPO ?

La certification d’un DPO permet d’attester de ses compétences et savoir faire en matière de protection des données. La certification n’est pas obligatoire et repose sur un mécanisme volontaire.

La certification sera octroyée par des organismes agréés par la CNIL sur la base de référentiels en cours d’élaboration.

4. Dois-je externaliser mon DPO ? 

Externaliser le DPO permet notamment de limiter les risques de conflit d’intérêt et d’assurer son indépendance vis-à-vis de la direction conformément au RGPD.

Le DPO peut être un prestataire de services extérieur à l’entreprise, mais il est recommandé que le DPO soit établi sur le territoire de l’Union européenne.

Le cabinet HAAS Avocats assure des missions de DPO externalisé pour ses clients, afin de les accompagner dans leur mise en conformité au RGPD sur la base d’un abonnement annuel dimensionné pour chaque structure (publique, privée, PME, grands comptes).

Pour en savoir plus, cliquez ici.

5. Comment déclarer à la CNIL mon DPO ? 

Une fois que vous avez choisi qui désigner en tant que DPO et que vous estimez qu’il détient les compétences requises et dispose de moyens suffisants pour agir en toute indépendance, vous pouvez le déclarer sur le site de la CNIL en quelques minutes, ou demander à votre DPO externalisé de vous accompagner dans cette démarche.