Conformité RGPD
Questions fréquentes
le rôle du DPO

Qu'est-ce qu'un DPO ?

La mission du Data Protection Officer (DPO) ou Délégué à la Protection des Données en français (DPD) consiste à organiser et à maintenir la conformité de votre organisme à la réglementation applicable en matière de données personnelles.

Pourquoi Désigner un DPO ?

Les bénéfices pour les entreprises à désigner un DPO/DPD : 

• Rassurer vos partenaires en démontrant votre conformité au RGPD
• Prouver à vos clients qu’ils peuvent vous faire confiance et que leurs données sont protégées
• Faciliter votre mise en conformité et son pilotage au quotidien
• Auditer les traitements existants pour améliorer l’existant

Quelle mission pour le DPO/DPD ?

Le DPO est le chef d’orchestre de la mise en conformité de l’entreprise avec le Règlement Général à la Protection des Données. En raison de son importance, il travaille en étroite collaboration avec le chef d’entreprise tout en jouissant d’une grande indépendance et d’une large protection (surtout contre le licenciement). Il est notamment chargé de :

• Conseiller et informer le chef d’entreprise sur toutes questions liées à la protection des données
• Superviser la bonne application des principes du RGPD
• Etre le point de contact entre l’entreprise et la CNIL
• Assister le responsable des traitements pour la mise en conformité
• Donner son point de vue sur toutes les décisions concernant les données privées
• Conseiller lors d’une fuite de données  
• Conseiller sur les Analyses d’impact (PIA), concevoir des mesures correctives, voir piloter l’exécution.

On comprend assez vite que le poste de DPO est un poste à haute responsabilité nécessitant des connaissances approfondies dans des domaines variés et contradictoires :

• Une grande maîtrise du RGPD (connaissance juridique) et des règles de conservations des données et documents
• Une grande maîtrise de l’informatique et des traitements de données
• Une grande connaissance des pratiques web marketing (emailing, scoring, etc. )
• Une bonne connaissance des nouvelles pratiques en matière de Cybersécurité ;
• Un excellent sens de la communication.
• Des capacités pédagogique pour la formation et la sensibilisation du personnel

La contrainte lors de la nomination du DPO est de trouver la personne compétente qui ne rentre pas dans un des cas de conflit d’intérêts.

Toutes les fonctions dirigeantes ou de responsables ne peuvent pas prétendre au titre de DPO ainsi que toutes les fonctions ou rôles qui déterminent les finalités et les moyens du traitement.

Quand Une entreprise devra désigner un DPO ?

Une PME/TPE doit obligatoirement désigner un DPO/DPD, lorsqu’elle réalise : 

• Des traitements de données sensibles ;
• Du profilage ;
• Des traitements portant sur des personnes fragiles (enfants, malades, salariés …);
• Des traitements de surveillance à grande échelle;

Bien évidemment, cette liste n’est pas exhaustive. De plus, en cas de doute, il convient toujours de rester prudent en désignant un DPO. D’autant plus que cela est encouragé par le RGPD et une bonne preuve de son ‘accountability’ ou responsabilisation.

Quels bénéfices de l’externalisation du DPO ?

Quels avantages une PME/TPE d’externaliser un DPO ?

Confier la fonction de DPO à un prestataire externe a plusieurs avantages. Tout d’abord, cela offre une plus grande garantie d’indépendance et limite les risques de conflit d’intérêts. Chose non évidente si le futur DPO possède le statut de salarié.

Ensuite, dans une certaine mesure, opter pour un prestataire externe permet une meilleure maîtrise des coûts. Un DPO interne sera certainement rémunéré au même ordre de grandeur que celui d’un cadre supérieur. Mais le coût d’un DPO externe sera moins important parce qu’il ne travaille pas à plein temps et sa disponibilité pourra être régulée en fonction de la charge.

Enfin, recourir au service d’un prestataire externe vous permet de gagner du temps (pas de formation) et vous garantit de travailler avec un expert confirmé. Et surtout, c’est une solution flexible. Remplacer un DPO externe est relativement simple en raison de la relation contractuelle libre. Rien à voir avec la difficulté de licencier un DPO interne protégé par son statut de salarié et par le RGPD lui-même (garantie d’indépendance).

Pourquoi Darvis a signé la charte DPO ?

Les données personnelles ne sont pas des données comme les autres et leur traitement implique une série d’obligations.

Les Délégués à la protection des données (souvent appelés DPO, pour Data Protection Officer), jouent un rôle important en tant que conseillers des responsables de traitements ou des sous-traitants, afin de veiller au respect des libertés et des droits fondamentaux des personnes concernées.

C’est dans cet esprit que l’Association Française des Correspondants à la protection des Données à caractère Personnel a conçu la présente Charte de déontologie, afin de promouvoir une culture de l’éthique parmi les Délégués à la protection des données désignés auprès de la CNIL au titre du Règlement Général sur la Protection des Données (RGPD).

Ce document formule les règles de conduite qui doivent régir l’action de tout Délégué à la protection des données. La présente charte contribue donc à la bonne application du règlement 2016/679 du 27 avril 2016 et des lignes directrices sur les DPO adoptées le 5 avril 2017 par le Groupe de travail Article 29 (WP 243).

La charte est disponible ici