Comment choisir son DPO ?

Comment choisir son DPO

Qu’est-ce qu’un DPO et quel est son rôle ?

Le Règlement Général sur la Protection des Données impose aux entreprises et institutions de nommer un « Data Privacy Officer » (DPO) « Délégué à la Protection des Données »(DPD) en français.

Ce dernier a un rôle central dans l’exécution du règlement européen. Pour piloter la gouvernance des données personnelles de la structure, il est recommandé (voir obligatoire) de faire appel à un véritable compositeur et “chef d’orchestre” qui exercera une mission d’information, de conseil et de contrôle en interne.

Mais alors que fait-il ?

Le DPO est principalement chargé :

• D’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que leurs employés,
• De contrôler le respect du règlement,
• De conseiller l’organisme sur la mise en place des Privacy Impact Assessments ou encore Etude d’Impacts sur la Vie Privée.

Il fait le lien entre tous les niveaux de l’entreprise et « rassemble » toutes les parties prenantes autour de cet objectif légitime : \*\*générer et préserver le respect et la confiance dans le traitement des données à caractère personnel.

Son implication est aussi effective dans le cadre de la documentation du registre des traitements (comment être conforme au RGPD ?), dans la conception du PIA et dans la gestion des incidents ou des réclamations introduites par des personnes dont les données sont collectées.

Par conséquent, le DPO doit pour vous accompagner dans la mise en place des nouvelles obligations à savoir :

• vous informer sur le contenu des nouvelles obligations,
• sensibiliser les décideurs sur l’impact de ces nouvelles règles,
• faire l’inventaire des traitements de données,
• assurer la conception d’actions de sensibilisation,
• piloter la conformité tout au long de l’année.

Vous l’aurez compris, le DPO est essentiel à la compréhension et à la mise en place du règlement RGPD car il est le « centre » de votre organisation.

Le DPO est en tout état de cause obligatoire :

• - si le responsable de traitement est un organisme public, - si les activités principales reposent sur un suivi systématique et régulier des personnes à grande échelle, - lorsque les activités principales de l’entreprise reposent sur des traitements à grande échelle de données sensibles, - le deuxième critère étant appliqué de manière large par les autorités de contrôle, la plupart des entreprises sont concernées.

La CNIL recommande la nomination d’un DPO même si vous ne relevez pas de ces trois critères.

Comment choisi-t-on un DPO ?

La première chose qu’il faut savoir c’est que ces profils sont assez techniques et par conséquent sont également assez rares à trouver et coûtent beaucoup d’argent à l’entreprise lorsque l’embauche est nécessaire.

Le règlement précise ainsi que le DPO peut être externe ou interne à l’entreprise.

Le DPO ne peut être un employé de votre entreprise impliqué dans le traitement de données personnelles, membre du CODIR ou COMEX ou un directeur de votre département de marketing par exemple.

La notion d’indépendance du DPO est primordiale.