Protéger les données personnelles fait partie des principales préoccupations de nos jours. Une réglementation spécifique a même été mise en place en janvier 2018, issue de la Loi Informatique et Libertés. Dans de nombreux domaines professionnels, les entreprises sont amenées chaque jour à manipuler des données en masse de leurs clients, prospects, salariés.
Pour s’assurer de la finalité de ces données, elles doivent nommer un DPO (Data Pro Officer) ou Délégué de la Protection des Données personnelles. En effet, les entreprises sont soumises au Règlement Général de la Protection des Données ou RGPD qui énonce toutes les obligations à suivre concernant la protection des données.
Sommaire :
La désignation d’un DPO : obligatoire
D’après le RGPD, de nombreuses organisations doivent nommer un DPO : les autorités et les organismes publics, les structures qui œuvrent autour d’une étude systématique et régulière des personnes, les entreprises qui utilisent des données personnelles ou des données en rapport à des infractions pénales ou des condamnations.
Pour les autres organismes, la nomination d’un DPO n’est pas une obligation, quoique fortement conseillée, car cela permettra de coordonner et de spécialiser les initiatives à mener pour protéger les fichiers de données personnelles. Le DPO peut alors être un salarié même de l’entreprise ou engagé exprès à cet effet. Les entreprises peuvent également choisir d’externaliser la gestion de la protection des données. Visitez le site https://dpo-consulting.fr/ pour en savoir plus.
Les différentes missions du DPO
Les missions du délégué de la protection des données sont multiples. Son rôle principal est de venir en aide à l’assistant et au sous-traitant dans leur démarche pour être conforme au RGPD. Il est alors chargé de les informer et de les conseiller, mais aussi de leur donner des recommandations. De ce fait, le DPO n’est pas le premier responsable en cas de non-conformité avec le RGPD, mais le responsable de traitement des données.
A part sa mission principale, les autres tâches du DPO sont de :
S’assurer du respect du RGPD dans l’organisation
Mettre en place des audits
Manager les processus de protection des données virtuelles
Former le personnel en charge
Négocier avec l’autorité de contrôle
Gérer les demandes sur la protection des données, le droit à l’oubli, le retrait de consentement…
En somme, le DPO est relié de près ou de loin à tout ce qui concerne la protection des données personnelles. Il est indépendant et se doit de respecter la confidentialité. En effet, le DPO ne doit pas être en conflit d’intérêts avec ses autres missions en-dehors d’une organisation. On observe surtout ce genre de situation lorsque le DPO travaille en même temps sur les moyens et les finalités du traitement des données.
Qui peut exercer la fonction de DPO ?
La nomination d’un DPO est régie par l’article 37.5 du RGPD qui stipule que « le délégué est choisi sur la base de ses qualifications professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ».
Le DPO doit donc avoir de bonnes connaissances juridiques sur la protection des données. Son degré d’expertise est choisi en fonction du niveau de sensibilité des données personnelles récoltées. Pour mener à bien sa mission, il doit être à l’aise dans le secteur d’activité dans lequel il opère et bien connaître le fonctionnement de la structure en matière de traitement et de sécurisation des données.
Enfin, comme il sera souvent amené à faire appel à des experts extérieurs à l’entreprise, il doit être un bon négociateur et avoir le sens de la communication.