DossierRGPD: tout savoir sur le DPO, délégué à la protection des données

Publié par le

2 - Les missions du DPO

En quoi consiste la fonction de DPO? Audit, réalisation des analyses d'impact, conseil, diffusion de l'information, communication interne et externe... Véritable chez d'orchestre de la mise en conformité avec le RGPD, il est le rouage indispensable dans la mise en oeuvre des traitements de données.

Chef d'orchestre de la gestion des données, le DPO a une mission d'information, de conseil et d'audit. Isabelle Dubois, qui exerce en Suisse en tant que DPO externe avec sa structure Ad Hoc Résolution, estime que "la fonction est relativement élastique entre le minimum légal et l'ampleur que l'on peut donner à la mission selon les ressources de l'entreprise et le volume de traitements".

Pour la Cnil, le rôle du délégué est tout d'abord d'informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les équipes, et de contrôler le respect du RGPD. Il lui revient également de conseiller l'organisme sur la réalisation d'une analyse d'impact relative à la protection des données et d'en vérifier l'exécution. Enfin, il coopère avec l'autorité de contrôle, dont il est le point de contact: c'est lui qui devra informer les autorités en cas de faille de sécurité.

Créer le registre des traitements

Le RGPD impose également aux organisations de tenir un registre des traitements de données personnelles: "Le registre est rattaché au responsable de traitement, mais dans la pratique c'est le DPO qui le tient à jour", souligne Richard Bertrand, directeur d'Actecil, société spécialisée dans le conseil en protection des données personnelles.

Qu'il soit salarié ou non, "il doit être en mesure d'exercer ses fonctions et missions en toute indépendance", insiste Hélène Legras : le DPO fera ses rapports au niveau le plus élevé de la direction, qu'il alertera en cas de manquement au règlement. Il doit donc avoir une certaine neutralité et ne pas être juge et partie.

C'est pourquoi la Cnil précise qu'en interne, il n'est pas possible de nommer à cette fonction le DSI ou le responsable RH, par exemple.

Dans les grands groupes, ce sont généralement les CIL déjà en place qui seront amenés à évoluer vers cette fonction. Enfin, le DPO ayant accès à des données qui peuvent être sensibles, il a une obligation de confidentialité. De par le caractère sensible et stratégique de sa mission, le règlement européen prévoit que "le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions" (art. 38.3). Par ailleurs, il n'est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

Hélène Legras souligne que "DPO signifie data protection officer: l'expression parle de "data" sans préciser "personnelles". On peut donc penser que le DPO aura en charge la protection de toutes les données de l'entreprise, qu'elles soient personnelles, industrielles ou intellectuelles." Un allié de plus pour le Daf dans la gestion des risques, en somme!

La rédaction vous recommande

Sur le même sujet