Qu’est-ce qu’un DPO ? Quand est-il obligatoire ? Quelles sont ses missions ?

Le DPO (Data Protection Officer) :
Définitions

Le DPO ( « Data Protection Officer » en anglais) aussi appelé DPD (pour « Délégué à la protection des données » en français), est la personne chargée de la protection des données à caractère personnel au sein des entreprises et des organisations soumises au RGPD.

La gestion des données personnelles au sein de l’entreprise n’est pas une fonction nouvelle. En effet, avant l’arrivée du RGPD, cette fonction assurée par le CIL : Correspondant Informatique et Liberté., dont la nomination n’était pas obligatoire.

Désormais, le Règlement Général sur la Protection des données (RGPD), entré en application le 25 Mai 2018, impose dans certains cas la nomination d’un DPO aux entreprises et organisations des secteurs privés et publics.

Le DPO a pour mission de piloter la conformité RGPD de l’entreprise Il est l’interlocuteur privilégié de l’autorité de contrôle au sein de l’entreprise (qui est la CNIL en France par exemple). Par ailleurs, bien que ce poste ne  soit pas systématiquement obligatoire  , de plus en plus
d’entreprises décident de consacrer des ressources à cette au sein de leur organisation afin de d’anticiper les obstacles et risques liés au RGPD. Un collaborateur est bien souvent désigné en interne afin de piloter la conformité et ainsi éviter des sanctions financières conséquentes ou un préjudice  d’image.

Quelles sont les :
missions du DPO ?

Le DPO veille à la conformité de l’organisation dont il a la charge en matière de protection des données. Les missions du DPO sont les suivantes :

DPO :
Obligatoire ou non ?

Pour résumé, la non-conformité au RGPD :

  • Expose le cabinet à des sanctions financières et financières et à un préjudice d’image potentiellement à fort impact,
  • Expose le dirigeant a des sanctions financières et pénales,
  • Positionne le cabinet dans une situation de défiance face à ses clients et partenaires,
  • Positionne le dirigeant dans une situation de défiance face aux investisseurs et à ses collaborateurs.

L’article 37.7 du RGPD prévoit la désignation d’un DPO dans 3 cas précis :

  • Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier à grande échelle des personnes concernées par les opérations de traitement.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométriques …) ou encore de données personnelles
    relatives à des condamnations pénales et des infractions.

Le DPO est ainsi une fonction de plus en plus recherchée et souvent indispensable pour assurer la mise en conformité de l’entreprise et le respect de la législation en matière de protection des données personnelles et de la vie privée. Pour faciliter, accélérer et piloter la conformité
RGPD de son organisation, le DPO peut s’appuyer sur un logiciel RGPD.

Les enjeux
du DPO

Le DPO a pour enjeu de déployer la conformité RGPD au sein de chaque service de son organisation puis de maintenir cette conformité dans le temps. Le DPO peut rencontrer plusieurs obstacles dans l’exercice de ses missions pour atteindre son objectif :

1. Déploiement de la conformité RGPD

Le DPO est parfois seul sur ce projet de conformité, néanmoins chaque responsable de service doit être impliqué pour déployer opérationnellement la conformité RGPD. Les interactions avec les services au sein de l’organisation sont bien souvent compliquées ou inefficient.

2. Traçabilité / Accountability

Le DPO doit assurer la traçabilité de l’ensemble des processus de conformité tel que le registre de traitement, le registre de violations de données, ou le plan d’actions. Néanmoins les outils bureautiques classiques, tel que Excel, montrent très rapidement à leurs limites pour respecter cet enjeu fondamental du règlement.

3. Pilotage de la conformité RGPD

Le DPO doit mettre en place une gouvernance et une gestion de projet efficace afin de piloter la conformité RGPD de l’organisation dans le temps.

Le logiciel Mission RGPD facilite les missions du DPO
et accélère la conformité de l'entreptise / organisation.

1. Un déploiement de la conformité RGPD : opérationnel, rapide et simple

Grâce à la plateforme collaborative Mission RGPD, le DPO échange rapidement et facilement avec ses collaborateurs. Il peut ainsi mettre en place des plans d’actions au sein de chaque service et d’impliquer les collaborateurs dans ces processus de conformité.

Le + : Le DPO dispose d’une technologie de workflow permettant la validation du traitement par le responsable de traitement, par exemple le Directeur Marketing ou le Directeur RH. Cette technologie permet ainsi de respecter strictement la conformité RGPD et la fonction de DPO, selon l’article 38.1 et 39.1 du règlement.

Article 38.1 Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Article 39.1 a) Les missions du délégué à la protection des données sont les suivantes : informer et conseiller le responsable du traitement

2. Une traçabilité garantie sur l'ensemble des processus RGPD

Grâce à la plateforme de conformité Mission RGPD, le DPO assure une traçabilité générale sur l’ensemble des processus de conformité. Le DPO est ainsi capabmle de faire évoluer ces processus tout en conservant l’historique des traitements de données ou des plans d’action. Mission RGPD est en ce sens un gain de conformité immédiat pour l’entreprise ou pour l’organisation concernée.

Le + : Cette technologie de traçabilité permet d'aborder ce sujet sereinement lors
d'un contrôle de l'autorité (CNIL par exemple). Mettre l’article RGPD

3. Un guichet unique de gouvernance RGPD pour un pilotage efficace

Grâce à la plateforme de gouvernance Mission RGPD, le DPO dispose d’un guichet unique de pilotage centralisant l’intégralité de son projet de conformité RGPD. Il dispose de processus de conformité conçus pour répondre à chaque enjeu du RGPD : registre de traitement, registre de violations de données, plan d’actions, traçabilité, droits des personnes, analyse de risque PIA, indicateurs et KPI, sensibilisation et formation des collaborateurs.

Le + : La plateforme Mission RGPD permet un pilotage simple de la conformité RGPD et la centralisation de l'ensemble des éléments requis  rapidement et de manière précise, lors d'un contrôle CNIL par exemple. Ceci permet également un pilotage de plusieurs entités à la fois (les filiales d’un groupe par exemple).

« La plateforme MISSION RGPD permet d’accélérer le processus de mise en conformité. Son mode convivial et modulaire permet une collaboration intelligente et réactive. Elle s’adapte aisément aux besoins spécifiques de ses utilisateurs et assure pérennité et traçabilité des actions. C’est un outil clé pour la bonne gouvernance de la donnée personnelle au sein de l’entreprise. »
Philippe Debry
Directeur Associé Technologies de l’information DPO Fidal Paris