Les fonctions du DPO
Le RGPD prévoit un personnage central, chargé de s'assurer de la mise en conformité des traitements de données personnelles. Il s'agit du Délégué à la protection des données personnelles ou Data Protection Officer (DPO). Le DPO est synonyme de sécurité juridique, car il permet au responsable de traitement ainsi que le(s) sous-traitant(s) d'assurer la conformité de leurs activités liées aux données personnelles. Le DPO vient se substituer au Correspondant Informatique et Liberté (CIL).
Le DPO a une fonction d'information, de conseil, et de contrôle interne à l'organisme. En effet, il n'est pas responsable de la mise en conformité avec le RGPD, mais vient orienter le responsable de traitement et le sous-traitant. Dans les faits, il va conseiller au quotidien l’ensemble des équipes sur les bonnes pratiques à adopter, va organiser des séances de sensibilisation et va proposer des procédures garantissant le respect des données personnelles.
De plus, il est lié au principe de Privacy By Design et By Default. En effet, il est associé à tous les traitements de données mis en place dès la conception d'un produit ou d'un service et durant toute la durée du traitement. Il bénéficie d'un droit d'accès à l'ensemble des données personnelles de l'organisme afin de réaliser au mieux ses missions.
Le DPO doit être en mesure d'exercer ses fonctions en toute indépendance. L'article 38 du RGPD vient préciser que le DPO ne doit recevoir aucune instruction au sujet de l'exercice de ses missions.
Vous avez des questions concernant le RGPD ? N'hésitez pas à nous contacter et à consulter nos différentes offres RGPD.
La désignation d'un DPO ?
Sa désignation au sein d'un organisme peut être obligatoire ou non. Certaines organisations nécessitent un DPO, cela est le cas notamment lorsque :
- Le responsable de traitement dépend du secteur public
- Lorsque l'organisme fait partie du secteur privé
- Lorsque les organismes traitent des données personnelles à grande échelle concernant le suivi régulier des personnes concernées, où lorsqu'il s'agit de données sensibles
- Lorsqu'il y a une obligation légale
- La participation aux prises de décisions relatives au traitement des données
Cependant, même si la désignation n'est dans certains cas pas exigée, la CNIL recommande d'en désigner un tout de même. En effet, cela permet à l'organisme en question de prouver sa volonté de respecter les dispositions imposées par le RGPD concernant la protection des données personnelles. Il permet alors d'éviter au maximum les risques de sanctions.
En tout état de cause, que sa désignation soit obligatoire ou non, le DPO aura les mêmes missions.
Quelles sont les missions du DPO dans le cadre du RGPD ?
Le DPO dispose de plusieurs missions prévues par les lignes directrices du G29 et la CNIL :
- Informer et conseiller le responsable de traitement et le sous-traitant au sujet de la protection des données personnelles
- Veiller au respect de la mise en conformité au RGPD en contrôlant les activités des personnes concernées
- Former et sensibiliser le personnel de l'organisme sur la protection des données à caractère personnel
- Coopérer avec l'autorité de contrôle (CNIL) et les personnes concernées par le traitement de données
- Assister l'organisme dans la réalisation d'analyses d'impact (PIA), en donnant des conseils et avis
- Tenir un registre des activités de traitement
Le DPO en tant que point de contact
Le DPO doit être un point de contact avec l'autorité de contrôle (CNIL), afin de faciliter l'accès de l'autorité aux documents et informations relatives aux missions du DPO. Il doit également coopérer avec elle dans le cadre d'enquêtes, d'adoption de mesures, ou encore de consultation de la CNIL. Il constitue un véritable relais entre l'autorité et le responsable de traitement sur toutes les questions relatives au traitement des données exercées au sein de l'organisme où il exerce ses fonctions.
Au-delà, il doit également faire office de point de contact avec les personnes concernées par le traitement de leurs données personnelles, que ce soient des questions vis à vis du traitement à proprement dit, ou de l'exercice de leurs droits (droits d’opposition, d’accès, de modification ou suppression de ses données...).
La responsabilité du DPO
Le DPO n'est pas tenu directement responsable de la non-conformité de l'organisme avec les dispositions du RGPD. Seul le responsable de traitement et le(s) sous-traitant(s) pourront voir leur responsabilité engagée. En effet, l'article 38 du RGPD dispose qu'il ne doit pas y avoir de conflit d'intérêts en fonction des différentes missions qui sont exercées.
En revanche, la CNIL rappelle tout de même que le DPO pourra être mis en cause et que sa responsabilité pénale pourra être engagée :
- S'il enfreint volontairement les dispositions pénales relatives à la protection des données personnelles
- S'il est complice avec le responsable de traitement et/ou le sous-traitant d'actes qui enfreignent les dispositions pénales protectrices des règles protectrices des données personnelles.
De plus, le DPO est soumis au secret professionnel et à une obligation de confidentialité.
Concernant maintenant l'entreprise, en cas d'omission du recrutement d'un DPO obligatoire, elle peut être soumise à une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre annuel mondial total de l'année précédente. De même, une entreprise qui ne doit pas recruter obligatoirement un DPO peut être soumise à la même amende si elle ne respecte pas les dispositions relatives au RGPD.