Nous contacter.
02 52 35 24 54
Qu’est-ce qu’un DPO ?
DPO signifie Data Protection Officer ou Délégué de la Protection des Données en français (DPD). Le DPO est donc une personne chargée de la protection des données à caractère personnel au sein d’une organisation privée ou publique. Les rôles du DPO sont variés, il permet de penser et mettre en application les recommandations de la CNIL pour la mise en conformité RGPD de l’entreprise.
Cette nouvelle fonction succède au CIL (Correspondant Informatique et Libertés). Et si les missions du DPO sont nettement plus poussées, l’une des différences majeures entre ses deux fonctions est la nouvelle obligation de nommer un DPO pour certaines entités.
Un DPO est-il obligatoire ?
Selon l’article 37 du RGPD, la désignation d’un DPO est obligatoire pour :
- les autorités et organismes publics.
- les organismes qui traitent des données à caractère personnel à grande échelle de manière régulière. Exemple : ciblage webmarketing, utilisation des cookies et d’outils de tracking, compagnies d’assurance, opérateurs téléphoniques etc.
- les organismes qui traitent des données sensibles à grande échelle : Exemple : données liées à la religion, à la race, à l’ethnie, à l’appartenance politique et/ou syndicale, à une condamnation pénale, etc.
Dans les autres cas, la désignation d’un délégué de la protection des données n’est pas obligatoire, mais est vivement conseillée.
Déterminer si vous avez l’obligation de nommer un DPO ?
Le processus d’analyse
Dans un premier temps, il est recommandé dans les lignes directrices concernant le délégué de la protection des données d’élaborer une analyse interne pour déterminer si la nomination d’un DPO est obligatoire ou non.
Dans l’idéal, cette analyse devra être documentée afin de démontrer le cas échéant, lors d’un contrôle de la CNIL par exemple, que les critères de l’organisme répondent ou non à la nécessité de désigner ce dernier.
Quelles questions se poser pour déterminer si la désignation d’un DPO est obligatoire ?
Il faudra alors se poser les bonnes questions :
- La nature de mon activité nécessite-t-elle une collecte et un traitement des données à caractère personnel ?
- Cette collecte est-elle réalisée à grande échelle ? Cette question prend d’ailleurs plusieurs sens : cela concerne aussi bien le volume de données, que leur durée de conservation, ou leur étendue géographique.
- Le traitement des données est-il systématique et régulier ?
Entreprises non concernées par la désignation d’un DPO
Ainsi, toutes les entreprises qui ne répondent pas à l’un des trois cas n’ont pas l’obligation de nommer un DPO pour leur mise en conformité RGPD.
En revanche, quand bien même l’obligation ne s’applique pas, celle-ci reste fortement recommandée.
DPO et sous-traitant
Pour rappel, au sens RGPD, le sous-traitant désigne celui qui travaille pour le compte d’un responsable de traitement.
Les sous-traitants qui traitent des données à caractère personnel sont également concernés par l’obligation de nommer un délégué de la protection des données dès lors :
- qu’ils entrent dans l’une des trois conditions précédemment citées
- et qu’ils sont établis sur le territoire de l’Union européenne ou si leurs activités s’appliquent en UE.
Choisir son DPO
Vous êtes dans l’obligation de désigner un Data Protection Officer pour votre entreprise ? Vous vous posez la question de qui peut être votre DPO ?
Deux solutions s’offrent à vous :
- choisir un DPO interne : dans ce cas, un collaborateur est désigné directement au sein de l’entreprise.
- choisir un DPO externe : ici, c’est un prestataire qui est chargé de la mission de mise en conformité.
AP3R, DPO externe, accompagne les entreprises et les organisations à chaque étape de leur conformité RGPD. Nous vous conseillons dans vos obligations spécifiques et vous assistons dans les démarches nécessaires à mettre en place.
Contactez-nous afin d’échanger sur vos besoins !