Application du RGPD : pourquoi désigner un DPO ?
La protection des données à caractère personnel étant l’objectif principal du RGPD, il est nécessaire de se mettre en conformité aux nouvelles obligations s’y rapportant. La désignation d’un DPO est une obligation que les organismes publics et privés doivent respecter pour se mettre en conformité au nouveau règlement européen. Le Délégué à la Protection des Données (DPO) est en effet le principal responsable de la gestion et de la protection des données personnelles. S’il n’est pas désigné au sein de l’entreprise même, il peut s’agir d’une personne venant de l’extérieur qui assure la mise en place des opérations garantissant la protection des données traitées. Pour cela, il doit veiller au respect des nouvelles obligations en se basant sur le registre de traitement. Il assure ainsi le contrôle des données traitées et la sécurisation des données sensibles jusqu’à l’achèvement de leur durée de conservation.
Les nouvelles obligations imposées par le RGPD s’appliquent à toutes les entités faisant de la collecte et de traitement de données personnelles. Qu’il s’agisse d’un TPE ou d’un PME qui assure la gestion de données personnelles à grande échelle, la désignation d’un DPO reste obligatoire. Toutefois, chaque entreprise est libre de choisir son délégué à la protection des données en fonction de sa taille ou de ses activités. Il peut s’agir du gérant même, d’un employé ou d’une personne indépendante. Il sera le garant de la protection des données à caractère personnel pour échapper aux sanctions.
Le DPO, un des piliers fondamentaux du RGPD
Le délégué pour la protection des données est un garant de la protection des données personnelles. Pour l’entreprise, il assure la mise en conformité en contrôlant le traitement des données, l’analyse et la durée de conservation des données. Mais pour les personnes concernées, le DPO est le garant de la protection de leurs vies privées et de la non-violation des données. Qu’il soit une entité extérieure ou d’un employé au sein de l’entreprise même, son rôle doit se porter sur l’application du RGPD. Il s’agit notamment de la priorité de la Commission Nationale de l’Informatique et des Libertés. Elle assure non seulement l’accompagnement des entreprises vers la mise en conformité au nouveau règlement mais applique aussi des sanctions et des amendes aux organismes qui ne respectent pas ces nouvelles obligations. C’est pourquoi le DPO est également sollicité jusqu’aux sous-traitants. Il veille au respect de la protection des données et de la mise en place d’une sécurité informatique efficace (pour une protection efficace contre ryuk par exemple). Vous pouvez notamment en savoir plus sur le rôle du DPO ci-après.
Comment choisir un DPO selon le RGPD ?
D’après l’article 37.5 du RGPD, le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». En tant que responsable de la protection des données, le délégué à la protection des données peut aussi bien être issu du secteur juridique que technique. Toutefois, il doit maîtriser parfaitement les législations autour de la protection de données personnes et des vies privées. Il doit également avoir de solides compétences en communication et en gestion pour contrôler les opérations de traitement de données. En outre, si le DPO est un employé de l’entreprise, son rôle ne doit pas interférer avec ses responsabilités au sein de l’entreprise. S’il y a conflit d’intérêt, il est nécessaire de désigner un autre DPO capable d’assurer son rôle de manière indépendante. A titre de rappel, le DPO doit vérifier les systèmes d’analyse et assurer la sécurité des données collectées et traitées.