Le délégué à la protection des données apparaît aujourd'hui comme un poste-clé dans tout organisme. Il est le "chef d'orchestre" qui assure la conformité et le respect de la réglementation d'une entreprise dans le traitement des données personnelles.
Il s’agit de l’acronyme employé pour désigner un délégué à la protection des données (en anglais : Data Private Officer). Par définition, c’est la personne qui est chargée de protéger les données sensibles au sein d’une organisation. La Réglementation de la protection des données personnelles (article 37.5) est effective dans les pays membres de l’Union européenne depuis 2018. La désignation de ce délégué spécialisé est obligatoire dans le cas de certaines organisations privées et pour l’ensemble des autorités publiques.
Note : il est obligatoire de désigner un délégué à la protection des données dans les cas suivants : une autorité ou un organisme public ; dans le cadre d’un suivi d’un groupe important de personnes ; lorsqu’il est question de traiter des données confidentielles et personnelles à grande échelle.
La désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire pour toutes les entreprises.
Cependant, elle est requise dans certains cas, définis par le Règlement général sur la protection des données (RGPD) :
1. Organismes publics :
Les administrations et organismes publics (ministères, collectivités territoriales, établissements publics, etc.) doivent obligatoirement nommer un DPO.
2. Traitement de données à grande échelle :
La désignation d'un DPO est également obligatoire pour les entreprises dont les activités principales impliquent le traitement à grande échelle de données à caractère personnel.
Cela comprend :
* Le **suivi régulier et systématique** des personnes à grande échelle (ex : géolocalisation, publicité ciblée, etc.)
* Le traitement à grande échelle de **données sensibles** (données biométriques, génétiques, relatives à la santé, etc.) ou de données relatives aux **condamnations pénales et infractions**.
3. Forte recommandation :
Même si la désignation d'un DPO n'est pas obligatoire, la CNIL la recommande fortement pour toutes les entreprises qui ne sont pas dans les cas cités ci-dessus.
En effet, un DPO apporte une expertise précieuse pour s'assurer de la conformité au RGPD et met en place les bonnes pratiques en matière de protection des données.
Il est responsable de mettre en place une stratégie générale pour protéger les données sensibles de l’organisme concerné. Pour être en mesure d’exercer ses différentes missions avec efficacité, ce délégué doit bénéficier des ressources et du positionnement nécessaires. Voici plus précisément le contenu de ses missions :
Il est chargé de s’assurer de la conformité de la réglementation en vigueur et de son application par l’organisme qui l’a désigné.
Il doit organiser des interventions et participer à l’élaboration des procédures internes sous forme de documents (charte, politiques de protection des données, de sécurité informatique, règlements internes…)
Il doit réaliser des audits de façon régulière pour s’assurer du respect des mesures mises en place (protection, conformité).
En matière de protection des données personnelles, il doit conseiller et informer les cadres et le personnel de manière responsable et indépendante ; ce qui implique l’organisation d’activités de formation et de sensibilisation.
La gestion des interactions avec la CNIL (Commission nationale de l’informatique et des libertés de France) ou autre autorité de contrôle fait également partie de ses responsabilités.
Tout comme l’identification des risques associée aux opérations de protection des données.
Tout délégué à la protection des données est soumis à une obligation de confidentialité (secret professionnel). Les personnes dont les informations personnelles sont traitées peuvent communiquer avec lui directement pour toute question à ce sujet. Le rôle de ce délégué est primordial au sein d'un organisme ou d'une entreprise puisqu'il constitue le point de contact entre celui-ci et la CNIL.
Pour remplir le rôle de DPO, une personne doit posséder des connaissances dans le domaine du droit de la protection des données sensibles. Même si elle n’est pas requise de façon obligatoire, une formation juridique adaptée aux responsabilités de ce poste facilitera l'accomplissement de ses missions. La connaissance de l’informatique est, aujourd’hui, essentielle. Il existe plusieurs formats de cours – en présentiel et en ligne - pour obtenir ou consolider ses compétences afin de devenir délégué de la protection des données. La formation DPO compte 35 heures de cours dans ce domaine spécialisé. Cette formation a pour but de fournir aux participants les connaissances nécessaires pour passer avec succès l'examen de certification validé par la Commission Nationale informatique & libertés.
Si le délégué à la protection des données agit comme coordonnateur dans le traitement des données personnelles récoltées, il n’en est pas personnellement responsable. Seul l’organisme, la société ou l’autorité publique en demeure l’entité responsable. Même si ce délégué jouit de beaucoup d’autonomie dans ses fonctions, il doit éviter tout conflit d’intérêt entre son rôle et une autre fonction (secrétaire général, par exemple) au sein de l'entreprise. Il ne doit recevoir ni directives ni instructions dans l’exercice de ses missions.
Il peut avoir été désigné à l’interne (salarié de l’organisme) ou avoir été choisi à l’externe et être lié par un contrat de service. Un délégué interne connaît déjà l’environnement de travail, les valeurs de l’organisme, les interlocuteurs, les procédures mises en place ainsi que les logiciels et équipements utilisés. Il peut ainsi réagir plus rapidement en cas quand il s’agit d’une intervention à traiter de manière immédiate. En tant que salarié de cet organisme, il se trouve à proximité des différents services et de leur personnel. Le RGPD a prévu la possibilité pour une entreprise d’opter pour un délégué interne ou un prestataire externalisé. Dans sa prise de décision, l’organisme est guidé par certains critères tels que le volume de données à traiter, le nombre de personnes concernées et la présence de données sensibles ou très sensibles (article 9). En externe, un délégué à la protection des données externalisé est disponible immédiatement (en fonction des besoins)et possède déjà une expérience professionnelle sur le terrain. Indépendant, il n’est pas exposé à un possible conflit d’intérêts au sein de l’organisme qui requiert ses prestations.
Précision :
Quand il s’agit d’une entreprise comptant plus de 100 salariés, il devient nécessaire de désigner une personne à l’interne pour aider à contrôler l’impact de la réglementation générale de la protection des données sur l’environnement informatique, même si cette organisation collabore déjà avec un DPO externe.
Il faut savoir que, pour exercer la fonction de DPO, certaines formations sont diplômantes et d’autres ne le sont pas. Même si ce n’est pas une obligation, il est fortement recommandé d’opter pour un centre de formation agréé qui délivre un diplôme. Seuls les organismes reconnus par la CNIL, comme l’est Wk-formation, peuvent offrir des formations certifiantes DPO. Pour être en mesure de suivre cette formation, il faut toutefois remplir une condition : posséder au moins deux ans dans un domaine (technique ou juridique) lié à la protection des données personnelles. Étant donné que l’environnement juridique et technologique est en évolution constante, la durée de validité de la certification de DPO se limite à 3 ans.
Obtenir une certification dans un centre de formation agréé par la CNIL comme Wk-formation constitue un gage de professionnalisme et d’expertise qui donne à un DPO une valeur ajoutée.
Vous souhaitez aller plus loin et maîtriser les compétences clés requises par la CNIL ? Découvrez le programme de notre Parcours DPO.
