Sommaire
Le DPO (délégué à la protection des données) est un poste instauré par le règlement européen depuis mai 2018. Le RGPD a été mis en place pour assurer la protection de la vie privée et des données personnelles de chaque citoyen européen. Il constitue un cadre légal et un référentiel permettant aux entreprises de se mettre en conformité. Aussi, une personne peut être nommée aux fins de garantir le respect de ces différentes règles. Dans cet article, nous allons découvrir ses différentes missions et dans quels cas sa désignation devient obligatoire.
Qu’est-ce qu’un DPO ?
Le délégué à la protection des données est désigné pour mettre l’entreprise en conformité avec le règlement européen sur la protection des données. Il peut être un intervenant interne ou externe. Il doit surtout témoigner des qualifications professionnelles et des connaissances spécifiques pour assurer la mise en œuvre de la conformité au règlement.
L’entreprise met à la disposition du DPO tous les moyens matériels, organisationnels et les ressources nécessaires à la réalisation de sa mission.
Envie d’aller plus loin ?
Les qualifications du DPO
Pour désigner un DPO, il est nécessaire de s’assurer qu’il dispose des connaissances nécessaires en matière de RGPD. La compréhension des différentes dispositions de ce règlement est indispensable. En fonction des ressources disponibles à l’entreprise, le DPO peut être un informaticien, un juriste, un agent administratif ou du secteur financier, etc.
Qui doit avoir un DPO ?
Selon la CNIL, sont obligés d’avoir un DPO :
- Les établissements publics : les organismes et les autorités publics comme les ministères et les collectivités territoriales.
- Les organismes qui ont pour métier de suivre régulièrement, systématiquement et à grande échelle les personnes : les banques, les assurances, les opérateurs téléphoniques et les fournisseurs d’accès Internet.
- Les organismes qui ont pour métier de traiter de données sensibles à grande échelle
- Les organismes qui ont pour métier de traiter les données sur les condamnations pénales et les infractions
Quelles sont les missions d’un DPO ?
La principale mission d’un DPO est de mettre l’entreprise qui le désigne en conformité avec le RGPD. Il est chargé de la création et de la mise à jour du fichier des données personnelles. En fait, c’est à lui de supprimer les données à la fin de leur période de conservation. Pour atteindre cet objectif, il a besoin de fournir :
- Informations et conseils à l’entreprise ou l’organisme qui l’a désigné ainsi qu’à ses collaborateurs
- Vérification du respect du règlement européen et du droit national sur la protection des données à caractère personnel
- Conseils sur l’étude d’impact en matière de protection de données et la vérification de l’exécution de cette analyse
- Une disponibilité en tant que vis-à-vis direct de la CNIL et des personnes concernées en matière de protection des données
DPO et données sensibles
Les données sensibles sont des données à caractère personnel très spécifiques. Il peut s’agir de :
- L’origine raciale ou ethnique
- L’appartenance et les opinions politiques
- Les convictions religieuses ou philosophiques
- L’appartenance syndicale
- Les données génétiques
- Les données biométriques permettant d’identifier les personnes
- Les données de santé
- Les données concernant la vie sexuelle
- L’orientation sexuelle
Si le RGPD interdit de recueillir et de traiter les données sensibles, les entreprises et les organismes peuvent toutefois faire exception à cette obligation si :
- Les personnes concernées ont donné expressément leur consentement de manière écrite
- Les personnes concernées ont rendu publiques ces informations
- Le traitement des informations est indispensable pour sauver la vie de la personne concernée
- Le traitement est autorisé par la CNIL sous justification d’intérêt public
- Elles récoltent et traitent les données de leurs propres membres. Sont ainsi concernées les associations, partis politiques, chambres syndicales et organisations religieuses ou philosophiques.