Entrée en vigueur du RGPD - Désignation du DPO



Entrée en vigueur du RGPD - Désignation du DPO

La CNIL poursuit l’accompagnement des entreprises dans le compte à rebours avant l’entrée en vigueur du Règlement Général sur la Protection des Données (ci-après « RGPD »), prévue le 25 mai prochain. Mercredi dernier, elle a mis en place un téléservice permettant aux entreprises de désigner un délégué à la protection des données ou data protection officer (ci-après : « DPO »).

Dans ce contexte il nous est paru intéressant de revenir sur les conditions de désignation d’un DPO et sur ces missions.

1.      Dans quels cas la désignation d’un DPO est-elle obligatoire ?

Le RGPD [1] impose la désignation d’un DPO dans les trois cas suivants :

  • lorsque le traitement est effectué par une autorité publique ou un organisme public ;
  • lorsque les activités de base du responsable de traitement, ou du sous-traitant, consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées et
  • lorsque le responsable de traitement, ou le sous-traitant, traitent des données dites « sensibles » ou relatives à des condamnations et infractions pénales.

Si la première et la troisième situation sont claires et précises, la deuxième semble pouvoir englober un grand nombre d’organismes et nécessite quelques précisions.

La notion de « suivi » renvoie[2] à l’utilisation de techniques de traitement « qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. ». Ainsi, la mise en œuvre de traitements en vue d’une analyse prédictive ou de cookies par exemple suffit à contraindre l’organisme concerné à désigner un DPO.

Hors les trois cas visés ci-dessus, la désignation d’un DPO n’est donc pas obligatoire mais recommandée par le G29[3] afin de garantir l’effectivité de la conformité. Il faut noter que la désignation du DPO est libre, il peut être interne, et choisi parmi les salariés de l’organisme concerné, ou bien externe, en exerçant ses missions sur la base d'un contrat de prestation de service.

 

2.      Quelles sont les missions du DPO ?

Qualifié de véritable « Chef d’orchestre », le DPO sera chargé de piloter la conformité et veiller à la protection des données personnelles au sein de l’organisme qui l’aura désigné.

A ce titre, le RGPD lui assigne les missions d’information et de conseil du responsable de traitement sur les obligations qui lui incombent (mise en place d'une organisation spécifique, rédaction d'une documentation dédiée à la conformité, tenue d'un registre...). Le DPO est chargé de coopérer avec la CNIL et fait office de point de contact avec cette dernière. D’une manière générale, le DPO doit contrôler et s’assurer du respect des dispositions du règlement notamment en répartissant les responsabilités, en sensibilisant et en organisant la formation du personnel et enfin en réalisant les audits s’y rapportant. 

Nous attirons votre attention sur le considérable alourdissement des sanctions financières en cas de non-respect des prescriptions du RGPD : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Au regard de ce qui précède, nous recommandons, lorsque les conditions sont remplies, d’identifier sans tarder votre DPO et de faire en sorte qu’il soit désigné dans les temps.



[1] Article 37 du RGPD

[2] Considérant 24 du RGPD

[3] Le G29 est le groupe de travail constitué des représentants de chaque autorité indépendante de protection des données nationales.

Auteurs

Fermer la navigation mobile
Fermer la barre de recherche