Qu’est-ce qu’un DPO ? Quand est-il obligatoire ? Quelles sont ses missions ?

Le DPO (Data Protection Officer) : Définition

Le DPO, « Data Protection Officer » en anglais, aussi appelé DPD pour « Délégué à la protection des données » en français, est la personne en charge de la protection des données à caractère personnel au sein des entreprises et organisations.

La gestion des données personnelles au sein de l’entreprise n’est pas une fonction nouvelle. En effet, avant l’arrivée du RGPD, cette fonction était non-obligatoire et traduite par la qualité de CIL : Correspondant Informatique et Liberté.

Désormais, le Règlement Général sur la Protection des données (RGPD), entré en application le 25 Mai 2018, impose dans certains cas la présence de cette fonction aux entreprises et organisations des secteurs privé et public.

Le DPO a la mission de piloter la conformité RGPD de l’entreprise Il est l’interlocuteur entre l’entreprise et l’autorité de contrôlé (qui est la CNIL en France par exemple). Par ailleurs, bien que cette fonction ne soit dans certains cas non-obligatoire, de plus en plus
d’entreprises mettent en place cette fonction au sein de leur organisation afin de prévenir des obstacles et des risques liés au RGPD. Un collaborateur est bien souvent désigné en interne afin de piloter la conformité et ainsi se prémunir des sanctions financières ou des préjudices sur image.

Quelles sont les missions du DPO ?

Le DPO veille à la conformité en matière de protection des données au sein de son entreprise ou organisation. Les missions du DPO sont :

DPO : quand est-il obligatoire ? obligation ou non ?

L’article 37.7 du RGPD prévoit la désignation d’un DPO dans 3 cas précis :

  • Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier à grande échelle des personnes concernées par les opérations de traitement.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométrique …) ou encore de données personnelles
    relatives à des condamnations pénales et des infractions.

Le DPO est ainsi une fonction de plus en plus recherchée et nécessaire pour la mise en conformité de l’entreprise et le respect de la législation en matière de protection des données personnelles et de la vie privée. Pour faciliter, accélérer et piloter la conformité
RGPD de son organisation, le DPO peut s’appuyer sur un logiciel RGPD.

Les enjeux du DPO

Le DPO a pour enjeu de déployer la conformité RGPD au sein de chaque service de son organisation puis de maintenir cette conformité dans le temps. Le DPO peut rencontrer plusieurs obstacles dans l’exercice de ses missions pour atteindre son objectif :

1. Déploiement de la conformité RGPD

Le DPO est parfois seul sur ce projet de conformité, néanmoins chaque responsable de service doit être impliqué pour déployer opérationnellement la conformité RGPD. Les interactions avec les services au sein de l’organisation sont bien souvent
compliquées ou inefficient.

2. Traçabilité / Accountability

Le DPO doit assurer la traçabilité sur l’ensemble des processus de conformité tel que le registre de traitements, le registre de violation de données, ou le plan d’actions. Néanmoins les outils bureautiques classiques, tel que Excel, arrivent très rapidement à leur limite pour assurer cet enjeu fondamental du règlement.

3. Pilotage de la conformité RGPD

Le DPO doit mettre en place une gouvernance et une gestion de projet efficace afin de piloter la conformité RGPD de l’organisation dans le temps.

Mission RGPD facilite les missions du DPO et accélère la conformité de l’entreprise / organisation.

1. Un déploiement de la conformité RGPD : opérationnel, rapide et simple

Grâce à la plateforme collaborative Mission RGPD, le DPO échange rapidement et facilement avec ses collaborateurs. Il est en capacité de mettre en place des plans d’actions au sein de chaque service et d’impliquer les collaborateurs dans ces processus de conformité.

Le + : Le DPO dispose d’une technologie de workflow permettant la validation du traitement par le responsable de traitement, par exemple le Directeur Marketing ou le Directeur RH. Cette technologie permet ainsi de respecter strictement la conformité RGPD et la fonction de DPO, selon l’article 38.1 et 39.1 du règlement.

Article 38.1 Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Article 39.1 a) Les missions du délégué à la protection des données sont les suivantes : informer et conseiller le responsable du traitement

2. Une traçabilité garantie sur l'ensemble des processus RGPD

Grâce à la plateforme de conformité Mission RGPD, le DPO assure une traçabilité générale sur l’ensemble des processus de conformité. Le DPO est capacité de faire évoluer ces processus tout en gardant l’historique des traitements de données ou des plans d’actions. Mission RGPD est en ce sens un gain de conformité immédiat pour l’entreprise pour l’organisation.

Le + : Cette technologie de traçabilité permet d'aborder ce sujet sereinement lors
d'un contrôle de l'autorité (CNIL par exemple). Mettre l’article RGPD

3. Un guichet unique de gouvernance RGPD pour un pilotage efficace

Grâce à la plateforme de gouvernance Mission RGPD, le DPO dispose d’un guichet unique de pilotage centralisant l’intégralité de son projet de conformité RGPD. Il dispose de processus de conformité conçus pour répondre à chaque enjeu du RGPD : registre de traitements, registre de violation de données, plan d’actions, traçabilité, droits des personnes, analyse de risque PIA, indicateurs et KPI, sensibilisation et formation des collaborateurs.

Le + : La plateforme Mission RGPD permet un pilotage simple de la conformité RGPD et de retrouver l'ensemble des éléments rapidement et de manière précise, lors d'un contrôle CNIL par exemple. Ceci permet également un pilotage de plusieurs entités
filiales par exemple.

« La plateforme MISSION RGPD permet d’accélérer le processus de mise en conformité. Son mode convivial et modulaire permet une collaboration intelligente et réactive. Elle s’adapte aisément aux besoins spécifiques de ses utilisateurs et assure pérennité et traçabilité des actions. C’est un outil clé pour la bonne gouvernance de la donnée personnelle au sein de l’entreprise. »
Philippe Debry
Directeur Associé Technologies de l’information DPO Fidal Paris