DPO RGPD : quel est son rôle ?

DPO_RGPD_entreprises

Entreprises, si vous souhaitez respecter au mieux le RGPD, il est conseillé de désigner un DPO, un délégué à la protection des données. Quelles sont ses obligations ? Comment doit-il être désigné ?

 

DPO RGPD : que fait-il au sein d’une entreprise ?

 

Tout d’abord, le délégué à la protection des données ou Data protection officer (DPO) est chargé de répondre à toutes les questions liées à la protection des données personnelles. Il doit informer et conseiller tous les membres d’une entreprise susceptibles de se poser des questions quant au traitement de leurs données et à l’exercice de leurs droits. Il est amené à contrôler le respect du RGPD et à collaborer avec la CNIL.

 

La désignation du DPO RGPD est obligatoire seulement dans trois cas : 

- si c’est une entité publique qui traite les données personnelles

- si l’entreprise concernée exerce une activité qui suppose de réaliser un suivi régulier des personnes

- si l’entreprise traite des données sensibles ou relatives à des infractions ou condamnations.

 

DPO RGPD : comment est-il désigné ?

 

Le DPO RGPD peut être un membre du personnel comme un tiers qui n’a rien à voir avec la structure. Des entreprises proposent même des services de DPO externalisé. Dans tous les cas, il doit remplir trois conditions :

 

- Il doit avoir les compétences requises. Il doit disposer d’une expertise juridique et technique en termes de protection des données personnelles et d’une bonne connaissance du domaine d’activité et de l’organisation interne de l’entreprise (surtout les opérations de traitements, les systèmes d’information ou encore les besoins en termes de données protégées).

- Il doit avoir des moyens suffisants. En effet, il doit avoir suffisamment de temps, suffisamment de moyens matériels et humains, un accès aux informations nécessaires, une certaine disponibilité et une implication au sein des projets liés aux données personnelles.

- Il doit agir en toute indépendance. Il ne doit alors pas se retrouver en conflit d'intérêt s’il exerce une autre fonction en plus de celle de DPO RGPD, ni être sanctionné quant à ses missions, ni recevoir des instructions. Il doit également pouvoir rendre compte de ce qu’il fait à la direction de sa structure.

 

Pour le désigner, la Commission nationale de l’informatique et des libertés met à disposition un téléservice sur son site web. Un formulaire, disponible sur le site, doit être rempli. L’entreprise doit remplir trois sections : l’organisme concerné, le choix du DPO RGPD et les coordonnées publiques. Ces informations sont ensuite transmises à la CNIL.

 

DPO RGPD : quelles formations ?

 

Quelques formations peuvent mener au poste de DPO dans une entreprise :

 

- Le DU Délégué à la protection des données data protection officer, à Paris II Panthéon Assas

- Le DU Délégué à la protection des données, à l’Université de Technologie de Troyes

- Le DU DPO / CIL, à l’Université de Franche Comté

- Le Mastère Management et protection des données à caractère personnel, à l’ISEP

- Le Mastère Sécurité de l’information et des systèmes, à l’ESIA

- Le MBA spécialisé en management de la sécurité des données numériques, à l’Institut Léonard de Vinci

- Le diplôme de correspondant informatique et libertés, à l’Université de Paris Nanterre