Le Règlement Général sur la Protection des données (RGPD) impose, sous certaines conditions, aux entreprises qui traitent et stockent des données personnelles de citoyens Européens, d’avoir un DPO (Data Protection Officer).
Le règlement précise que ce n’est pas la taille d’une entreprise qui détermine la nomination d’un DPO mais plutôt le volume et le cadre de traitement des données. Il est donc important de faire une analyse des données traitées et de la documenter avant de décider de nommer un DPO. Dans les cas ou l’obligation n’est pas requise il est quand même fortement recommandé de designer volontairement un DPO.
Responsabilités du DPO
Le DPO est le « chef d’orchestre » de la conformité en matière de protection des données au sein de l’entreprise ou il a été désigné. Il est principalement chargé :
- D’informer et de conseiller l’entreprise et ses employés sur les principales exigences de conformité.
- De veiller à ce que les employés impliqués dans le traitement des données soit formés.
- De contrôler le respect du règlement et du droit national en matière de protection des données.
- D’effectuer des audits pour s’assurer de la conformité de l’entreprise et d’adresser proactivement tous problèmes potentiels
- De conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution.
- Contrôler les performances et emmètre des conseils sur l’impact qu’a sur l’entreprise les processus mis en place pour protéger les données.
- D’être contacté par les personnes concernées pour toute question sur l’utilisations de leurs données, les droits qu’ils ont pour les supprimer et les mesures prises par l’entreprise pour les protéger.
- De coopérer avec la CNIL et d’être son point de contact.
Qualifications du DPO
Un bon DPO doit posséder une compréhension approfondie de l’infrastructure informatique, des technologies utilisées et de la structure organisationnelle et technique de l’entreprise. Il doit aussi avoir une expertise juridique concernant la règlementation de la protection des données personnelles.
Le DPO doit être fiable, indépendant, et posséder une excellente aptitude et capacité d’encadrement. Il doit être capable de communiquer à la fois en interne avec les employés de l’entreprise ainsi qu’en externe avec les autorités tel que la CNIL.
Par où Commencer ?
Des la prise de ses fonction le DPO doit commencer par s’informer, rassembler la documentation nécessaire à sa tache tel que la RGPD, Les lignes directrices, les fiches pratiques, etc.. Il doit organiser une veille sur les sujets touchant aux données personnelles et à la sécurité des systèmes d’information mis en place. Il doit ensuite se faire connaitre, vérifier qu’il est facilement joignable par les personnes concernées à la fois au sein de l’entreprise et à la CNIL. La mise en place d’un plan de communication est recommandée pour informer toutes les partie concernées (Employés, CNIL, Direction, etc..) de son rôle en tant que DPO, de son statut, et des futurs chantiers.
La réussite du DPO
Pour accompagner l’entreprise dans la conformité RGPD le DPO doit suivre impérativement les Cinq point essentiels et critique suivant :
- Cartographier les traitements
- Prioriser les actions à mener
- Gérer les risques
- Organiser les procédures internes
- Documenter la conformité
La conformité d’une entreprise au RGPD étant une démarche permanente et dynamique elle ne doit pas se limiter aux premiers jours de la prise de fonction du DPO. Pour piloter en continue la conformité le DPO doit structurer et animer ses réseaux et externes. Sensibiliser les employés, initier une réflexion globale, identifier les public cibles, et enfin créer des contenus thématiques doivent être des taches régulières au sein de l’entreprise.
Références :
CNIL – Lignes directrices sur le délégué à la protection des données – DPO
