Le Règlement Général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. C’est une loi qui encadre l’ensemble des traitements de données effectuées par une entreprise. Dans le cadre d’une mise en conformité au RGPD, les entreprises concernées sont dans l’obligation de mettre en place divers plans d’action pour protéger la vie privée des personnes. Parmi ces actions figure la nomination d’un Data Protection Officer (DPO). La désignation d’un délégué à la protection des données est-elle obligatoire ? Comment faire pour trouver un DPO ? Lequel choisir : DPO interne ou externe ? Découvrez toutes les réponses dans l’article suivant.
Sommaire
Qu’est-ce qu’un dpo entreprise ?
Un Data Protection Officer (DPO), aussi appelé délégué à la protection des données, est le premier responsable de la mise en conformité d’une entreprise à la nouvelle réglementation sur la protection des données personnelles. Il assure la gestion et le suivi de tous les traitements de données réalisés au sein de l’entreprise. Afin d’assurer ses missions, le DPO doit posséder les compétences et qualités requises dans le cadre du métier. C’est à la fois un conseiller et un accompagnateur de choix pour une entreprise afin de se mettre en conformité au nouveau règlement européen. Pour trouver un dpo entreprise sûr et fiable, suivre ce lien.
Les principales missions d’un DPO
Un dpo entreprise à plusieurs missions :
Des missions de conseils
Le DPO informe et conseille l’entreprise sur les différentes notions essentielles du RGPD. C’est à lui que revient la tâche de former tous les acteurs concernés par le RGPD. On parle ici du responsable de traitement, des prestataires et des sous-traitants.
Des missions de suivi et de contrôle
Les délégués à la protection de données sont chargés de contrôler et d’assurer le respect de la loi sur la protection des données à caractère personnel. C’est le chef de projet qui accompagne l’entreprise dans la mise en œuvre de tous les plans d’action. Ce dernier assure la bonne application des textes régis par la loi.
Des missions de coopération
Le dpo est chargé d’assurer les échanges entre l’entreprise et les autorités de contrôle dans le cadre d’une procédure de mise en conformité. Le but est d’éviter toutes sanctions pouvant être imposées par la Commission Nationale Informatique et Libertés (CNIL).
La désignation du DPO est-elle obligatoire ?
La notion de DPO est mentionnée dans les articles 37, 38 et 39 du règlement européen sur la protection des données personnelles. Le rôle du Data Protection Officer est formellement écrit noir sur blanc dans les articles 38 et 39. L’obligation ou non de désigner un délégué à la protection des données est, quant à elle, définie dans l’article 37. D’après les textes, un dpo entreprise doit obligatoirement être nommé dans les cas suivants :
1er cas : des traitements réalisés par une autorité publique
Si les traitements de données personnelles sont effectués par une autorité publique ou un organisme public, sauf juridictions qui agissent dans le cadre de leur fonction, la désignation d’un délégué n’est pas une obligation. Par contre, la nomination d’un DPO est obligatoire pour les autres entités publiques :
- l’Etat ;
- les collectivités territoriales d’une région, d’un département ou d’une commune ;
- les établissements publics administratifs, industriels ou commerciaux.
Pour plus de précision, tous les organismes de l’Etat sont tenus de désigner un dpo en dehors des tribunaux.
2e cas : une activité de base nécessitant un suivi des traitements de données
La désignation d’un délégué à la protection des données est obligatoire pour une entreprise si l’activité de base du responsable de traitement requiert un suivi et un contrôle régulier des personnes faisant l’objet des collectes de données. Une activité de base peut être définie comme étant le centre d’activité de l’entreprise. Par exemple, on peut citer les sociétés de vidéosurveillance qui réalisent des collectes de données sur des personnes physiques.
3e cas : une activité de traitement à grande échelle
Si les responsables de traitement réalisent un traitement de données à grande échelle, c’est-à-dire des données d’ordre médical, un dpo doit obligatoirement être nommé. Les données sensibles concernent :
- les données de santé ;
- les données relatives aux condamnations pénales ;
- les données raciales et ethniques, etc.
Les traitements à grande échelle concernent un grand nombre de personnes. Comme vous aurez pu constater, énormément d’entreprises sont concernées par l’obligation de désigner un DPO.
Choisir un DPO interne ou externe ?
Beaucoup de responsables de traitement hésitent entre la nomination d’un DPO interne ou externe. Les textes du RGPD n’imposent ni l’un ni l’autre. Les entreprises ont alors le droit de faire un choix selon leur convenance. Pour vous aider à faire le choix, voici quelques détails sur les spécificités du DPO interne et du DPO externe :
Les avantages d’un DPO interne
Un Data Protection Officer interne à l’avantage d’avoir une bonne connaissance de son environnement de travail. Il connait l’ensemble des acteurs relatifs à la protection des données en entreprise. Cependant, étant un salarié à part entière au sein de l’organisation, designer un dpo interne représente un budget conséquent à court, moyen et long terme pour l’entreprise. Ce choix peut convenir pour les plus grandes entreprises sur le marché. Avec une capacité budgétaire plus importante, ces types d’entreprises peuvent prendre en charge un DPO en tant que salarié.
Les avantages d’un DPO externe
Un délégué à la protection des données externalisé est un expert tout à fait indépendant. Il est capable d’assurer son rôle et ses missions en toute neutralité, sans risques de conflits d’intérêt avec l’entreprise. Avec un savoir-faire et une expérience professionnelle acquise dans le domaine, il offre un accompagnement sur-mesure dans le cadre d’une mise en conformité RGPD. Le choix d’un dpo externe permet de mieux maitriser le budget conformité RGPD. La prestation résulte d’un contrat entre les deux parties. Le tarif peut être personnalisé en fonction des besoins de l’entreprise. Un DPO externalisé est un choix plus adapté aux TPE et PME. De nombreux services en ligne proposent des DPO externes en fonction des besoins de votre entreprise. Il est possible de directement les contacter pour se faire une idée du tarif proposé, selon les services sollicités par votre entreprise.
Comment trouver votre Data Protection Officer ?
Selon l’article 37 du règlement général sur la protection des données, le DPO peut être choisi suivant ses qualités professionnelles ainsi que ses compétences en droit et ses pratiques en termes de data protection. Il n’existe actuellement aucun diplôme de délégué à la protection de données. Cependant, pour reconnaitre un professionnel expérimenté, ce dernier doit avoir une connaissance avancée en droit sur la protection des données. Quelques connaissances en informatique et en digital sont également un atout pour un DPO. Le choix doit se porter sur un expert avec des compétences juridiques avancées afin de vous fournir un accompagnement de qualité supérieure. Pour un DPO interne, il faudra prévoir un recrutement. Pour un DPO externe, faites quelques comparatifs entre les offres disponibles sur le marché.
![e91540e5917a1d4ba924a0de164ac13d[1]](https://cadresetdirigeants-magazine.com/wp-content/uploads/2023/09/e91540e5917a1d4ba924a0de164ac13d1-320x220.jpg)
![e91540e5917a1d4ba924a0de164ac13d[1]](https://cadresetdirigeants-magazine.com/wp-content/uploads/2023/09/e91540e5917a1d4ba924a0de164ac13d1-150x150.jpg)
