DPO : Obligatoire ou non ?

Tout comprendre des obligations liées au DPO

Le DPO est-il obligatoire ?

Avec l’instauration du Règlement Général sur la Protection des Données (RGPD), le métier de Correspondants Informatique et Libertés (CIL) a évolué pour devenir le Data Protection Officer (DPO).

Alors que le CIL était facultatif jusqu’en mai 2018, la nouvelle fonction de DPO, au rôle et aux pouvoirs plus significatifs que ceux du CIL, est devenue obligatoire pour certains organismes. Comment savoir si la désignation d’un DPO est obligatoire dans votre situation ? On vous explique tout !

Dans quels cas le DPO est-il obligatoire?

Selon l’article 37 du Règlement Général sur la Protection des Données (RGPD), la désignation d’un DPO est obligatoire pour :

1. Les autorités et organismes publics: A l’instar des entreprises du secteur privé, administration et les autres organismes publics sont responsable du traitement des données personnelles et des données sensibles du qu’ils sont amenés à collecter. Etant donné que l’administration sert l’intérêt public, le DPO est obligatoire et veille à la conformité de la collecte et du traitement de ces données. (Exemple : Collectivités, établissements publics, établissements scolaires, etc.)

2. Le traitement de données personnelles qui nécessitent un suivi régulier et systématique des personnes concernées à grande échelle, c’est-à-dire pour un nombre important d’individus. Cela peut-être du à la nature ou à la finalité des données collectées (Exemple : Secteur bancaire, assurances, etc.). La notion de « grande échelle » n’est pas explicitement expliquée par la législation ni même par la doctrine qui semble en difficulté lorsqu’il s’agit de quantifier cette « grande échelle ». Un certain nombre de critères généraux figurent au considérant 91 du RGPD qui ont été confirmés par l’ancien groupe de travail G29.

En résumé

Vous êtes concerné par l’obligation de désignation d’un DPO si :

Vous êtes un organisme public
Vous effectuez un suivi régulier et systématique des personnes à grande échelle
Vous traitez, à grande échelle, des données sensibles ou relatives à des infraction et condamnations pénales

Quelques

Précisions

Assistance RGPD online

Le point précédent inclue bien évidemment les organismes qui traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et à des infractions. (Exemple : Secteur santé, opinions philosophiques, politiques, religieuses, etc.)

Si l’activité de l’organisme répond à l’un de ces trois critères, alors celui-ci fait l’objet d’une obligation de désignation d’un DPO. En cas de doute, contactez un de nos expert RGPD grâce à l’Assistance RGPD online de Actecil.

H2 : Que faire lorsque la désignation d’un DPO est obligatoire au sein de son organisme ?

1. Désigner un DPO interne

Il s’agit alors d’un de vos collaborateurs. Cette solution est intéressante car la personne désignée DPO connait parfaitement l’entreprise. Ainsi, elle comprend rapidement les problématiques en termes de protection des données personnelles des activités et projets de l’organisme. Sa présence au sein de l’organisme est un vrai plus en termes de réactivité en cas de questions interne ou externe, de contrôle CNIL, ou de violations de données.

ATTENTION : Certaines fonction au sein de votre organisme ne sont pas compatibles avec la fonction de DPO. Ce dernier est indépendant vis-à-vis de la Direction. Il ne peut être « juge et partie » c’est-à-dire qu’il ne peut pas exercer une fonction de Direction ou de Responsable et en même temps être désigné DPO. Un conflit d’intérêt pourrait naître car il pourrait justifier la légalité d’un traitement de données par sa fonction de Direction, simplement parce qu’il détient la casquette de DPO. Il faudra vous assurer qu’aucun conflit d’intérêt n’est présent et que la personne que vous avez identifiée soit véritablement en mesure d’assurer ce rôle de DPO, notamment par des compétences appropriée.

En parlant de ça, vous pouvez bénéficier d’une Formation pour devenir DPO, assurée par nos experts RGPD quel que soit votre domaine d’activité et vos exigences métier. En quelques jours, faites en sorte que votre DPO devienne le garant de la protection des données de votre organisme et qu’il puisse anticiper la légalité de vos futurs projets pour ne pas être inquiété par une potentielle dénonciation ou un contrôle CNIL

2. Faire appel à un DPO externe ou mutualisé :

La solution de DPO interne demande du temps, des ressources, un budget et une personne capable d’assurer cette fonction. Vous pouvez faire appel au DPO externe ou mutualisé pour externaliser cette fonction au sein de votre organisme. Bénéficier de l’expertise d’un Délégué à la Protection des Données (DPD) externalisé qui répondra à toutes les obligations liées au Règlement Général sur la Protection des Données (RGPD) à moindre cout.

Attention, les obligations liées à la désignation d’un DPO s’appliquent également aux sous-traitants.

Même si le DPO n’est pas obligatoire,

le RGPD s’applique tout de même !

Lorsque la désignation d’un DPO au sein de votre organisme n’est pas obligatoire, celle-ci est tout de même fortement recommandée par la CNIL. En effet, il peut s’avérer très complexe d’identifier et de coordonner les démarches de protection des données personnelles. La CNIL encourage ainsi la désignation d’un DPO pour assurer la conformité des collectes et des traitements de données personnelles au regard du RGPD. Disposer d’un DPO c’est garantir la protection de vos données, de celles de vos fournisseurs, partenaires et de vos clients !

Vous souhaitez entreprendre vous-même la mise et le maintien de la conformité RGPD de votre organisme ?

Faites appel au Consulting RGPD pour vous accompagner dans vos démarches.

Découvrez également les Logiciels RGPD, outils indispensables pour organiser ses démarches et prouver sa conformité en cas de contrôle CNIL.

Autres pages qui pourraient vous intéresser