DPO : la première étape de votre mise en conformité RGPD

La mise en conformité RGPD impose le passage de plusieurs étapes, dont l’une des premières est la nomination d’un DPO.

Nous avions vu, dans une récente infographie, que les entreprises françaises et européennes étaient encore loin d’être conformes au RGPD à 1 mois et demi de son entrée en application. Pourtant, le temps nécessaire à cette mise en conformité peut être considérablement réduit avec quelques mesures simples à mettre en place, dont la nomination d’un DPO.

Avec un flux de données personnelles de plus en plus important transitant par les entreprises, des risques peuvent intervenir en matière de sécurité mais aussi de légalité, et c’est au DPO qu’il incombera désormais de protéger à la fois l’entreprise et les consommateurs.

 

Qu’est-ce qu’un DPO ?

 

DPO signifie Data Protection Officer. C’est l’équivalent anglophone du DPD en français (Délégué à la Protection des Données).

Sa désignation, sa fonction et ses missions sont précisées par les articles 37 à 39 du RGPD. Il est le pilote de la mise en conformité des entreprises et autres organismes au RGPD et exerce des missions de conseil et de sensibilisation.

La profession de DPO est relativement récente. On pourrait dire qu’il est le successeur du CIL (Correspondant Informatique et Liberté) dont la désignation était, jusque là, facultative. Avec la mise en application du RGPD, on assiste à une véritable professionnalisation de la fonction, qui devient une activité à part entière.

 

Quelles sont les missions du DPO ?

 

Précisées par l’article 39 du RGPD, on lui attribue deux missions principales : informer et conseiller le responsable des traitements et contrôler le respect des dispositions du RGPD. À côté de cela, il est le référent direct auprès des organismes de contrôle (en France, la CNIL). Il sera notamment chargé de lui transmettre, à sa demande, toutes les pièces justificatives sur la mise en conformité de l’entreprise, sur les documents regroupant les demandes des particuliers concernant le traitement de leurs données personnelles, etc.

Autre point d’importance, il lui devra déclarer dans les 24 heures tout incident affectant des données personnelles relatives aux clients de l’entreprise.

 

Une étude réalisée en 2017 montre que les missions du DPO sont globalement plutôt comprises par les professionnels

Ce graphique issu de l’étude sur la connaissance des rôles et missions du DPO en entreprise mené par l’AFCDP montre que les missions du DPO sont relativement bien comprises dans 67% des cas.

 

En raison du caractère essentiel de cette nouvelle fonction, le DPO doit disposer de certaines compétences pour pouvoir être nommé. Selon l’article 37, alinéa 5 du RGPD,  Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données…”.

Plusieurs formations permettent déjà d’accéder à un poste de DPO, dans certaines universités et écoles d’ingénieur : Paris II Panthéon Assas, l’ISEP, l’ESIA, l’université de Paris Nanterre, l’université de Franche Comté, l’Institut Léonard de Vinci…

En raison de la forte demande qui devrait apparaître en 2018, il y a fort à parier que de nouvelles formations seront proposées dans d’autres établissements.

 

Une nomination obligatoire… dans certains cas

 

Si l’on se réfère aux textes, la désignation d’un DPO sera obligatoire, à partir du 25 Mai 2018, pour :

  1. Tous les organismes du secteur public, peu importe la nature des traitements de données
  2. Toutes les entreprises dont l’activité entraîne le traitement de données personnelles à grande échelle
  3. Toutes les entreprises traitant des données personnelles “sensibles” (géolocalisation par exemple) ou liées à des condamnations pénales et autres infractions.

Selon la CNIL, cela représente environ 100 000 organisations en France. Pour autant, cela ne signifie pas trouver 100 000 DPO sur le marché de l’emploi : certaines PME et TPE pourront mutualiser un DPO, et les entreprises disposant d’un CIL pourront éventuellement le convertir en DPO, sous condition de formation

L’article 37, alinéa 6 du RGPD indique que le DPO peut être soit employé directement par le responsable du traitement ou par le sous traitant, soit agir en tant que prestataire extérieur. Aux entreprises de déterminer quelle méthode convient le mieux à leur fonctionnement.

Il faut également savoir que le DPO ne sera pas personnellement responsable devant la loi de la conformité de l’entreprise. En cas de contrôle, et si des irrégularités sont détectées, ce sera le responsable du traitement lui-même qui pourra être inquiété par des mesures coercitives.

 

Les 3 conseils de FollowAnalytics :

Nommer le plus rapidement possible un DPO si ce n’est pas déjà fait : le 25 mai n’est pas une date couperet, mais plus la mise en conformité sera rapide, plus l’entreprise économisera de temps et d’argent en cas de sanction.

Pour les entreprises n’ayant pas l’obligation de nommer un DPO, il est toutefois recommandé de le faire, même à temps partiel : vous gagnerez à coup sûr du temps dans vos process de mise en conformité. Cela permettra aussi de “confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles”, selon les autorités de protection européennes.

Afin de faciliter le travail de votre DPO :

  • impliquez-le rapidement dans toutes les questions relatives à la protection des données
  • fournissez-lui les ressources nécessaires à la bonne conduite de ses missions : budget, équipe dédiée et formation régulière
  • permettez-lui d’agir de manière indépendante et d’être positionné de sorte à pouvoir interagir facilement avec tous les pôles de l’entreprise
  • donnez-lui accès à toutes les bases de données et fichiers devant être transmis à l’organisme de contrôle en cas d’audit

 

Parole d’Expert : Le RGPD vu par Jean-Michel Livowsky, DPO de FollowAnalytics

Sources :

Numérama : “RGPD : tout comprendre au rôle de délégué à la protection des données”

Paperjam : “RGPD, 5 points clefs pour surmonter l’épreuve”

Zdnet : “Le CIL est légitime à devenir DPO, sous condition” 

Zdnet : “DPO : périmètre, missions, portrait robot” 

JournalduNet : “DPO : définition, formation et salaire”

CNIL : “Désigner un DPO, les recommandations”

BusinessDecision : “DPO, tout comprendre sur le rôle stratégique du DPO” 

Newmanity : “Qu’est-ce que le Data Protection Officer ?”