Nous contacter.
02 52 35 24 54
Vous êtes une entreprise et vous travaillez sur la mise en place ou la sauvegarde de votre politique RGPD au sein de votre organisation. Parmi les différents volets à mettre en place, se posent les questions liées au Délégué à la protection des données : est-il obligatoire ? Qui désigner ? Comment trouver votre DPO externe ?
Qu’est-ce qu’un DPO ?
Le délégué de la protection des données, plus généralement désigné par son acronyme anglais DPO pour Data Protection Officer, désigne la personne en charge de la protection des données à caractère personnel au sein d’une entreprise.
Il joue le rôle d’interlocuteur avec la CNIL et doit notamment s’assurer de la conformité du traitement des données.
Est-ce que désigner un DPO est obligatoire ?
L’article 37 du Règlement européen sur la protection des données désigne 3 cas spécifiques pour lesquels la désignation du DPO est obligatoire :
- Si vous êtes un organisme public ou une autorité publique (à l’exception des tribunaux)
- Si vous procédez à un traitement des données à caractère personnel à grande échelle de manière systématique et/ou régulière.
- Si vous traitez des données dites “sensibles” à grande échelle
Si votre entreprise répond à l’une de ces 3 hypothèses, vous êtes alors dans l’obligation de nommer un délégué de la protection des données.
A l’inverse, en toute vraisemblance, en tant que petit commerçant ou artisan, vous n’exercez pas de traitement de données à grande échelle. Vous n’êtes donc pas soumis à cet impératif.
Toutefois, des zones d’incertitude restant toujours persistantes, il est fortement recommandé de désigner un DPO même lorsque l’obligation ne s’applique pas.
Qui désigner comme DPO ?
Vous faites partie des organisations qui ont l’obligation de désigner un délégué de la protection des données ? Sachez que deux solutions s’offrent à vous :
- désigner votre DPO en interne
- nommer un DPO externe en faisant appel à un expert
Pour rappel, l’article 37 du RGPD indique que “Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service”
Le DPO désigné devra disposer des compétences à la fois techniques et juridiques suffisantes pour superviser le traitement des données de votre entreprise.
En tant que grande entreprise, vous avez tout intérêt à désigner une personne en interne et à temps plein de manière à gérer quotidiennement le traitement des données.
Mais tout le monde n’a pas besoin de DPO à plein temps. C’est le cas notamment des TPE-PME. Désigner une personne de manière externe à temps partiel semble plus judicieux, cela permet d’éviter le conflit d’intérêts.
Avant de faire votre choix, veillez au préalable à effectuer une analyse interne de vos besoins.
Comment contacter un Délégué de la protection des données ?
Vous souhaitez contacter un DPO externe ? Il est recommandé de se tourner vers un professionnel labellisé. La CNIL fournit notamment une liste de labels de certification des compétences du DPO qui sont un bon indicateur.
Sachez également qu’afin de “permettre une reconnaissance aisée par le grand public et les professionnels”, la CNIL a mis en place une “marque collective utilisable par toute personne physique ou morale désignée en tant que DPO auprès de la CNIL” (Cf – Préambule – Règlement d’usage de la marque collective “DPO délégué à la protection des données (logo)).
Enfin, s’il n’existe pas concrètement de liste de DPO recommandés par la CNIL, il existe cependant un fichier regroupant la dénomination des organismes ayant désigné un délégué à la protection des données, ainsi que le contact de ce dernier.
Vous pourrez ainsi y retrouver différents contacts de DPO autour de chez vous.
Besoin de contacter un DPO ?
Contactez AP3R Consulting, votre cabinet de conseil RGPD à Angers et dans tout le grand Ouest.