Le place du DPO selon le RGPD

Le délégué à la protection des données, data protection officer en anglais (DPO ou DPD), est l’héritier depuis le RGPD du CIL (Correspondant Informatique et Libertés) qui officiait sous l’empire de la Loi informatique et libertés de 1978.

Désignation obligatoire ou facultative

C’est la section 4 du RGPD qui introduit le rôle du délégué à la protection des données. L’article 37 du Règlement prévoit en effet que le responsable de traitement et le sous-traitant sont tenus de désigner un DPO dans un certain nombre de cas, au-delà desquels sa nomination demeure fortement encouragée.

Ainsi, à l’exception des juridictions, les autorités publiques et organismes publics sont dans l’obligation de nommer un délégué à la protection des données, ainsi que les entités qui opèrent certains traitements d’une particulière sensibilité sur une grande échelle de personnes.

DPO interne, DPO externe, DPO mutualisé 

Toutefois, le DPO n’est pas nécessairement un salarié de la structure, d’autant qu’il doit pouvoir disposer de temps et de ressources, mais encore d’une autonomie suffisante à l’exclusion de tout conflit d’intérêt, notamment lorsqu’il exerce d’autres missions, pour assurer son rôle de conseil.

Le Règlement prévoit donc la possibilité de désigner un DPO en externe, mais aussi de mutualiser cette fonction.

Dans tous les cas, il est soumis au secret professionnel et exerce son rôle en toute confidentialité.

Les fonctions du DPO

Les missions du DPO

Selon le RGPD, le DPO a pour mission de :

  • Informer et conseiller le responsable de traitement et ses agents sur les obligations posées par la règlementation
  • Contrôler le respect de la règlementation : procédures internes, sensibilisation des équipes, répartition des responsabilités…
  • Dispenser des conseils en ce qui concerne les traitements les plus critiques sur l’obligation de procéder à une analyse d’impact sur la vie privée
  • Coopérer avec la CNIL dont il est le point de contact

En pratique, il a également pour rôle de tenir le registre des traitements, et de mettre en œuvre le plan d’action de mise en conformité afin d’assurer le bon respect de la règlementation en assistant les acteurs des traitements au quotidien.

Le DPO, « chef d’orchestre » de la conformité

SI on l’appelle parfois le chef d’orchestre de la conformité, c’est en effet car le délégué à la protection des données a un rôle de pilotage du projet de mise en conformité, puis de sa gestion sur le long terme.

Il conseille les salariés, met à jour le registre, représente le responsable de traitement auprès des partenaires, … Le DPO est également le point de contact des personnes concernées pour l’exercice de leurs droits, et de l’autorité de contrôle le cas échéant.

Pour avoir une visibilité globale sur les activités de traitements, le DPO doit être appuyé par l’ensemble des acteurs des traitements (remontée d’information sur de nouveaux projets ou des évolutions), lesquels peuvent à leur tour s’appuyer sur son expertise.

Le DPO n’est donc pas le contrôleur de la conformité, mais son pilote quotidien et dans la durée.