Mon compte Devenir membre Newsletters

DossierRGPD: tout savoir sur le DPO, délégué à la protection des données

Publié le par

1 - Dans quels cas nommer un DPO?

L'obligation de nommer un délégué à la protection des données concerne de nombreuses entreprises. Et même pour celles qui n'y sont pas contraintes, cette fonction se révélera vite très utile pour accompagner le chantier de mise en conformité avec le RGPD!

Une des obligations introduites par le Règlement européen de protection des données (RGPD) adopté en mai 2016 est l'obligation, pour certaines structures, de nommer un data protection officer (DPO), en français délégué à la protection des données. Cette fonction remplacera à compter de mai 2018 celle de correspondant informatique et libertés (CIL), créée en 2004 avec la loi Informatique et libertés.

La désignation du DPO sera obligatoire dans trois cas:

  • si le traitement des données personnelles est effectué par une autorité ou un organisme publics;
  • si les activités de base de l'organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire...);
  • ou encore lorsque l'activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales.

Les banques, assurances, instituts de sondages, par exemple, ne pourront s'en dispenser.

Le DPO, cheville ouvrière de la conformité au RGPD

Les organisations qui ne sont pas concernées par ces cas, quant à elles, sont libres de ne pas nommer de délégué. Cependant, le nouveau règlement met fin à l'obligation de déclaration prévue par la loi Informatiques et libertés. Désormais, les entreprises doivent pouvoir apporter à tout moment la preuve qu'elles protègent les données personnelles. C'est pourquoi les experts recommandent la désignation d'un DPO, même pour les structures qui n'y sont pas contraintes, si elles collectent des données personnelles. "Pour ma part, je suis persuadée que le DPO est indispensable pour mener à bien la conformité exigée par le RGPD", avertit Hélène Legras, vice-présidente de l'Association des data protection officers.

Chaque organisme pourra enregistrer son DPO auprès de la Cnil à partir du 25 mai 2018. La fonction pourra être internalisée, mutualisée avec plusieurs structures, ou encore externalisée auprès d'un cabinet d'avocat ou d'une entreprise spécialisée.

Miles, indemnités de retard ou d'annulation de vol : des leviers d'économies ?

LLD vs crédit-bail: comment optimiser le financement de sa flotte