DPO : Comment devenir délégué à la protection des données ?

DPO : Le délégué à la protection des données est chargé de superviser la conformité en matière de protection des données au sein de son organisme. Il est au cœur du règlement européen sur la protection des données.

Le règlement européen sur la protection des données (RGPD) fixe les règles applicables à la désignation, à la fonction et aux missions du délégué à la protection des données, sous peine de sanctions.

Le CEPD (Comité européen de la protection des données) a publié des lignes directrices sur la fonction de délégué à la protection des données (DPO), regroupant les autorités de protection des données européennes. Ces lignes directrices clarifient et illustrent d’exemples concrets le cadre juridique applicable à la fonction de DPO.

Le guide du DPO publié par la CNIL vise à accompagner les organismes dans la mise en place de la fonction de délégué à la protection des données (ou DPO pour Data Protection Officer), tout en fournissant aux DPO les outils nécessaires pour l’exercice de leur métier.

DPO : À retenir

Le délégué est chargé de superviser la conformité avec le règlement européen sur la protection des données au sein de l’organisme qui l’a désigné.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes, sous réserve de certaines conditions.

Pour garantir l’effectivité de ses missions, le délégué doit :

• disposer de qualités professionnelles et de connaissances spécifiques ;
• bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer efficacement ses missions.

Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

La désignation d’un délégué est obligatoire pour :

• les autorités ou les organismes publics, à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles ;
• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

La désignation d’un délégué à la protection des données est encouragée par le CEPD, car elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Les organismes peuvent désigner un délégué interne ou externe à leur structure.

Le délégué à la protection des données peut, sous certaines conditions, être mutualisé, c’est-à-dire désigné pour plusieurs organismes. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement.

Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Les lignes directrices du CEPD permettent de mieux comprendre les critères du règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

DPO : Qui peut être délégué ?

DPO : Connaissances et compétences du délégué

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

• aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
• ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper de fonctions, au sein de l’organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie ») ;
• expertise en matière de législations et pratiques en matière de protection des données, acquise par exemple grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
• bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données ;
• le DPO doit être positionné efficacement au sein de l’organisme pour être en capacité de faire directement rapport au niveau le plus élevé, d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts (expert informatique, juriste, expert en communication, traducteur, etc.).

Il n’existe pas de profil unique pour un DPO. En fait, une étude menée en 2020 a révélé qu’environ 28 % des DPD ont un profil informatique, le même pourcentage a un profil juridique, et les 43 % restants sont issus de l’administration, des finances, de la conformité, de l’audit, etc.

DPO : Dans quel cas peut-il exister un conflit d’intérêts ?

La fonction de délégué peut être exercée à temps plein ou à temps partiel. Si elle est exercée à temps partiel, le délégué ne peut pas occuper de fonctions qui l’amèneraient à déterminer les finalités et les moyens d’un traitement (pour éviter d’être « juge et partie »). L’existence d’un conflit d’intérêts est donc appréciée au cas par cas.

À titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts avec la fonction de DPO : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.

Un conflit d’intérêts peut exister si, par exemple, un délégué représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données personnelles. Ce cumul est, dans tous les cas, interdit.

DPO : Quelles sont les missions du délégué à la protection des données ?

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :

• d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
• de contrôler le respect de la règlementation en matière de protection des données (RGPD, droit national, etc.) ;
• de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
• de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après) ;
• d’être le point de contact des personnes concernées.

Les tâches du délégué couvrent l’ensemble des traitements effectués par l’organisation qui l’a désigné.

Les lignes directrices détaillent le rôle du délégué en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement.

Le délégué ne peut être tenu personnellement responsable en cas de non-conformité de son organisme avec le règlement.

DPO : Quels sont les moyens d’action du délégué à la protection des données ?

Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :

• s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation) ;
• lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe) ;
• lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
• lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme) ;
• veiller à l’absence de conflit d’intérêts.

Les lignes directrices fournissent des ressources opérationnelles et adaptées selon la taille, la structure et l’activité de l’organisme.

Si vous disposez de peu de temps, vous pouvez opter pour une formation à distance qui vous permettra de travailler à votre rythme.

Chez Skills4All, nous proposons des formations certifiantes DPO éligibles au CPF !

N’attendez plus, réservez votre place en formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.

Skills4All est un organisme de formation en digital learning, qui propose des formations certifiantes dans le domaine de l’IT, Scrum, Prince2, Lean Six Sigma, Gestion de projet, Agilité, et plus encore. Formez-vous où que vous soyez, 24/24h et 7/7jrs !