Par Gérard HAAS et Alexandre LOBRY
Le Règlement européen sur la protection des données dit RGPD, est un règlement européen qui a pour but d’encadrer le traitement des données personnelles de manière égalitaire sur tout le territoire de l’Union européenne.
Le RGPD répond à trois objectifs essentiels :
-
Une uniformisation des règles de protection des données personnelles au niveau européen ;
-
Un accroissement des droits des personnes concernées par les traitements de données ;
-
Une responsabilisation des acteurs dans le traitement des données personnelles.
Le DPO, pour « Data Protection Officer » ou DPD pour « Délégué à la protection des données », est une personne en charge de la protection des données personnelles traitées par un organisme privé ou public. Il est devenu le successeur du CIL, depuis l’entrée en vigueur du RGPD, le 25 mai 2018.
1. Quand le DPO est-il obligatoire ?
-
Lorsqu’il s’agit d’autorités ou organismes publics ;
-
Lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées ;
-
Lorsqu’il s’agit d’un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
2. Quelles sont les missions du DPO ?
Le DPO est le véritable « chef d’orchestre » de la conformité en matière de protection des données. Il est principalement chargé :
-
D’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
-
De contrôler le respect du règlement et du droit national en matière de protection des données ;
-
De conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
-
De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci
Il n’existe aucune restriction quant au choix de l’une ou de l’autre des solutions n’est prévue par le texte. Ainsi, un DPO peut être interne ou externe.
Cependant, il devra nécessairement satisfaire aux exigences du RGPD (compétences en la matière, absence de conflit d’intérêts, indépendance et allocation des ressources nécessaires).
3. Quelles sont les compétences requises du DPO ?
Un DPO doit nécessairement avoir les compétences suivantes :
-
Il doit pouvoir exercer ses missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement ;
-
Il doit avoir les connaissances suffisantes et adaptées à l’organisme pour effectuer ses missions.
-
Il doit avoir une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
***
***
