Le RGPD ou Règlement Général sur la Protection des données est une nouvelle réglementation instaurée par l’Union européenne. Elle encadre l’exploitation et le traitement des données à caractère personnel. Cette réglementation touche toutes les entreprises implantées dans le territoire économique européen et qui utilisent des données à titre privé. Autrement dit, toutes ces entreprises doivent se mettre conforme au RGPD. Afin de garantir le respect de cette mise en conformité, chaque organisme doit désigner une personne pour assurer cette mission. Il peut s’agir d’un DPO ou délégué à la protection des données.
DPO RGPD : définition
Le DPO (Data Protection Officer) ou délégué à la protection des données est une personne qui se charge de veiller le respect de la vie privée ainsi que de la mise en conformité au RGPD.
Attention à ne pas confondre le DPO RGPD avec le pilote RGPD. En effet, une organisation peut disposer d’une personne qui assure le respect du RGPD sans pour autant être un DPO. Un DPO doit être désigné par le RGPD. C’est une nomination prévue dans une procédure spécifique. Ce délégué aura donc des missions spécifiques. Par exemple, il doit contrôler le respect de ce nouveau règlement. Il doit également conseiller l’organisme sur l’analyse d’impact liée à la protection des données et contrôler son exécution.
La désignation d’un DPO RGPD est-elle obligatoire ?
Afin d’assurer le respect de la mise en conformité au RGPD, une entreprise doit avoir une personne qui prend en charge cette mission. Il peut s’agir d’un pilote ou d’un chargé de mission RGPD. Ainsi, la désignation d’un dpo rgpd au sein d’une organisation n’est obligatoire que dans les 3 cas suivants (art 37 RGPD) :
- Si l’organisation est un organisme public ;
- Si l’établissement utilise un suivi régulier et systématique à grande échelle de personnes ;
- Si l’activité de l’entreprise consiste à traiter à grande échelle des données sensibles.
Pourquoi est-il nécessaire de nommer un DPO ?
Afin de garantir le respect des obligations imposées par le RGPD, il est vraiment indispensable d’avoir une personne dument formée au sein de l’organisation. Le DPO peut être un prestataire externe ou une personne désignée en interne. Dans tous les cas, cette personne doit avoir suivi une formation RGPD. Cette personne doit s’assurer que l’organisation respecte bien la réglementation qui encadre le traitement des données personnelles.
En fait, une entreprise concernée par cette loi qui ne la respecte pas est passible de sanction par la CNIL. Les sanctions se traduisent par des amendes lourdes et elles deviennent de plus en plus fréquentes.
Quelles sont les missions du DPO RGPD ?
Les missions du DPO sont très précises et sont définies par l’art 39 du RGPD. En effet, le DPO :
- informe et conseille sur les obligations relatives au RGPD ;
- contrôle le respect du RGPD et assure la sensibilisation et la formation du personnel participant aux opérations de traitement, et mène les audits RDPD;
- donne des conseils relativement à la PIA
- coopère avec la CNIL;
- organise des points de contact pour toutes questions relatives au RGPD.
A noter que le DPO n’est pas tenu responsable si l’organisation ne respecte pas la mise en conformité au RGPD.
Quelle formation le DPO RGPD doit-il suivre ?
Tout d’abord, un DPO est désigné sur la base de ses qualités professionnelles (art 37.5 RGPD). Ensuite, sa nomination est basée sur ses connaissances spécialisées en droit de la protection des données à caractère personnel ainsi que sur son aptitude à accomplir ses missions.
Ainsi, si le DPO veut maitriser toutes ces fonctions, il est obligé de suivre une formation spécifique sur le RGPD.