Le délégué à la protection des données : les missions du DPO

Conformément à   l’article 37 du règlement européen RGPD – Section 4 certaines entreprises en fonction de leur activité sont dans l’obligation de nommer un délégué à la protection des données. Cette obligation concerne les organismes et autorités publics, les organismes ayant vocation à traiter de manière régulière et importante un certain volume d’information concernant un grand nombre de personnes – ex : banques, assurances, téléphonie mobile…et toutes les entreprises qui traitent des données considérées comme étant sensibles – ex : biométrie, génétique…

Bon à savoir : Il est toutefois fortement recommandé de désigner un délégué à la protection des données même si l’entreprise n’est pas directement concernée par cette mesure. En effet, rien n’interdit une entreprise de désigner un délégué afin d’assurer la sécurité des données récoltées au sein de cette dernière.

 

Une certification appréciée

La mise en place d’un délégué à la protection des données peut se contenter d’une simple désignation en interne par l’entreprise d’après la CNIL. Pour autant, l’entreprise devra s’assurer que le délégué réponde aux exigences de compétences et de savoir-faire prévues par le règlement.

Il est alors recommandé d’obtenir une certification officielle.

Afin d’exercer sa mission, le délégué peut bénéficier d’une certification délivrée par des organismes agrées –   Délibération n°2018-317 du 20 septembre 2018 et Délibération n°2018-318 du 20 septembre 2018.

Bon à savoir : Le candidat aspirant à la fonction de délégué à la protection des données fait l’objet d’une évaluation permettant de vérifier ses compétences et son savoir-faire. Il devra notamment réaliser une épreuve écrite consistant en un QCM comprenant au moins 100 questions.

 

Les missions du délégué à la protection des données

La mission du délégué est définie à   l’article 39 du RGPD, il doit notamment :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ;
  • contrôler le respect des obligations du RGPD ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci conformément à   l’article 35 du RGPD ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement- en France, il s’agit de la CNIL, la Commission nationale de l’informatique et des libertés.

Lorsque l’entreprise désigne un délégué à la protection des données, ce dernier doit pouvoir bénéficier des moyens matériels et techniques lui permettant d’assurer sa mission. Concrètement, il doit évidemment avoir accès aux données récoltées et concernées par les éventuels traitements.

 

Bon à savoir : Si le délégué à la protection des données est bien en charge du respect de la législation et de la protection des données, il ne peut pour autant être tenu pour responsable en cas de violation des obligations de l’employeurs.

 

 

Fascicule mis à jour le 24 juin 2020.

Tous droits réservés.

-

Maitre Data