Le RGPD pose les règles concernant la désignation du DPO (Data Protection Officer, ou délégué à la protection des données).
Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.
Il est nécessaire de désigner un DPO uniquement dans les cas suivants :
- si votre organisme est une autorité ou un organisme public,
- si votre organisme à des activités de base amenant à effectuer un suivi régulier et systématique des personnes à grande échelle,
- si votre organisme à des activités de base amenant à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions.
Des données sont sensibles au sens du RGPD si elles ont trait à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle de la personne.
Dans le cas ou cela n’est pas obligatoire, la désignation d’un DPO est une recommandation puisqu’elle permet de confier les problématiques liées à la mise en place du RGPD à une personne experte.
Le profil du DPO
L’article 37.5 du RGPD précise ses compétences ainsi, le DPO a des « connaissances spécialisées du droit et des pratiques en matière de protection des données ». Il faut également que soit les moyens (matériels et organisationnels, des ressources et du positionnement) soient mis à disposition afin de lui permettre d’exercer ses missions.
Il peut être localisé dans l’Union Européenne ou en dehors, du moment qu’il est capable d’exercer sa mission de contrôle des traitements de données.
Le rôle du DPO
Les missions du DPO consistent à assurer de la conformité en matière de protection des données au sein de son organisme. Il informe et conseille le responsable de traitement ou le sous-traitant, ainsi que leurs employés.
Il contrôle le respect du règlement et du droit national en matière de protection des données. Il conseille l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution.
Enfin, il sert de point de contact avec l’autorité de contrôle, à qui il pourra demander des conseils sans se soucier de la confidentialité des opérations de traitement.
La protection du DPO
Le DPO ne pourra pas être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions.
En outre, le DPO ne peut être jugé responsable en cas de non-respect du RGPD par le responsable du traitement ou par le sous-traitant. Il n’est pas même possible de transférer au délégué à travers une délégation de pouvoir, la responsabilité ou les obligations propres à ceux-ci.
Comment désigner le DPO
Si un DPO est désigné, l’information est transmise à la CNIL par le biais de ce formulaire (lien). Le délégué entrera en fonctions le 25 mai 2018, tandis que le CIL (correspondant informatique et libertés) sera de facto démis des siennes, sans formalité à effectuer.
Le RGPD entre en vigueur très prochainement – le 25 Mai.
CONCILIUM vous accompagne en cette période d’évolution juridique. Découvrez notre offre RGPD.
NDLR : Cet article n’équivaut pas au conseil juridique d’un praticien du droit. Il s’agit de bonnes pratiques mises à votre disposition.