Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne qui a été instaurée le 25 mai 2018. Il a dû changer les habitudes des entreprises et des utilisateurs. En effet, il s’agit d’une nouvelle loi qui encadre le traitement de données à caractère personnel de tous les citoyens de l’UE. Elle est également inscrite dans le droit français à travers la loi Informatique et Libertés. Dans cet article, vous allez trouver à quoi sert le DPO dans une entreprise et quand sa nomination est obligatoire.
À quoi sert le DPO dans une entreprise ?
Le DPO (Data Protection Officer) ou délégué sur la protection des données a pour principale mission d’apporter une réponse à toutes les questions des membres d’une entreprise dans le cadre de la protection des données personnelles. Il doit les informer et les conseiller en matière de traitement de données personnelles ainsi que des droits rattachés à leur protection. Il a donc pour rôle, avec une étroite collaboration avec la CNIL (Commission Nationale de l’Informatique et des Libertés), d’aider l’entreprise dans leur mise en conformité au RGPD.
En général, le recrutement d’un DPO n’est pas obligatoire, mais il peut l’être dans certaines entreprises. En d’autres termes, ce poste doit obligatoirement être ouvert pour les organismes publics et pour les entreprises dont l’activité principale utilise ou traite des données sensibles ou bien des informations relatives à une poursuite judiciaire.
Dans quels cas le DPO est-il obligatoire ?
Le recrutement d’un DPO est obligatoire dans les deux cas suivants :
- Pour les entreprises et les organismes publics
- Pour les organismes qui traitent des données personnelles spécifiques (dans le cas d’une infraction ou d’une condamnation)
En d’autres termes, d’après l’article 37 du RGPD, ce poste est obligatoire :
- Lorsque l’activité de l’entreprise fait intervenir un suivi régulier et systématique des personnes concernées dans le cadre de la gestion de leurs données personnelles.
- Dans le cas d’un traitement de données considérées comme sensibles (informations médicales, données biométriques, etc.) et spécifiques comme dans le cas d’une poursuite judiciaire ou d’une enquête.
Ainsi, si vous voulez savoir si le dpo rgpd est obligatoire pour votre entreprise, vous devez poser les questions suivantes :
- Est-ce que l’activité de base de l’entreprise fait intervenir le traitement des données personnelles ?
- Est-ce que vous traitez des données personnelles à grandes échelles ?
- Est-ce que vous devez réaliser un suivi régulier et systématique dans le cadre du traitement des données personnelles ?
Quand est-ce que le DPO n’est pas obligatoire ?
Si l’activité de votre entreprise ne relève d’aucune des spécificités citées ci-dessus, alors vous n’êtes pas obligé de nommer un DPO. Toutefois, vous avez quand même besoin de désigner un pilote pour gérer les données personnelles exploitées dans votre entreprise. Dans ce cas, vous pouvez juste assigner les tâches à l’un de vos collaborateurs. Cela afin de respecter votre mise en conformité au RGPD.
Peut-on externaliser le DPO?
Vous pouvez également choisir d’externaliser cette fonction au cas où vous ne pourriez pas trouver une personne compétente en interne.
En effet, même si vous ne disposez pas de DPO, vous devez quand même respecter le RGPD en suivant les démarches suivantes :
- Cartographier le traitement des données en élaborant un registre des traitements
- En utilisant ce registre, identifier les démarches qui ne sont pas conformes au règlement et trouver des mesures appropriées pour pallier le problème
- Assurer la protection des données sur tous les plans, notamment en matière de collecte, d’accès, de conservation des données ainsi qu’en matière de sécurité informatique
- Documenter toutes les actions menées pour prouver que l’entreprise a bien respecté son processus de mise en conformité.