Formateur en business development
Formateur en business development

J-9 !

Vous n’avez pas encore de DPO ?

L’article 37 du RGPD crée une nouvelle fonction : celle de Data Protection Officier (DPO) ou Délégué à la Protection des Données (DPD) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

La CNIL indique sur son site que :

Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

Pour garantir l’effectivité de ses missions, le délégué :

  • Doit disposer de qualités professionnelles et de connaissances spécifiques,
  • Doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

La mise en place de la fonction de délégué nécessite d’être anticipée et organisée dès aujourd’hui, afin d’être prêt en mai 2018.

Se pose donc la question de la désignation d’un DPO.

DPO interne ou externe ?

Le RGPD n’impose la désignation d’un DPO interne qu’aux entreprises de plus de 250 salariés.

Cependant la CNIL conseille, sans ambiguïté, aux entreprises effectuant des traitements de données personnelles de désigner un DPO.

Désigner un DPO interne pose pas mal de problèmes car il ne peut y avoir de conflit d’intérêts :

Dans quel cas peut-il exister un conflit d’intérêts ?

La fonction de délégué peut être exercée à temps plein ou à temps partiel. Dans ce dernier cas, le délégué ne peut occuper des fonctions au sein de l’organisme le conduisant à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). L’existence d’un conflit d’intérêts est donc appréciée au cas par cas

A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts :

  • Secrétaire général,
  • Directeur général des services,
  • Directeur général,
  • Directeur opérationnel,
  • Directeur financier,
  • Médecin-chef,
  • Responsable du département marketing,
  • Responsable des ressources humaines
  • Responsable du service informatique…

…mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.

Un conflit d’intérêt peut également exister par exemple si un délégué sur la base d’un contrat de service représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel. »

https://www.cnil.fr/fr/devenir-delegue-la-protecti…

De ce fait la désignation d’un DPO externe est à envisager.

Quels critères pour choisir un DPO externe ?

Tout d’abord il doit s’engager à remplir les missions suivantes :

  • Informer et sensibiliser, diffuser une culture « Informatique et Libertés
  • Veiller au respect du cadre légal
  • Informer et responsabiliser, alerter si besoin, son responsable de traitement
  • Analyser, investiguer, auditer, contrôler
  • Établir et maintenir une documentation au titre de « l’Accountability »
  • Assurer la médiation avec les personnes concernées
  • Présenter un rapport annuel à son responsable de traitement
  • Interagir avec l’autorité de contrôle

…et avoir les qualités personnelles et professionnelles afin de remplir cette mission…

Ensuite il doit être signataire de la charte de déontologie mise en place par l’AFCDP (Association Française des Correspondants à la Protection des Données Personnelles) www.afcdp.net

Il doit disposer d’une RC professionnelle

Il s’engage à procéder à son inscription sur le site de la CNIL en tant que votre DPO externe.

Il doit vous proposer un tarif d’abonnement claire et adapté à la taille de votre entreprise et au nombre de traitements effectués.

Conclusion :

« Il vous reste 9 jours pour dénicher l'oiseau rare… » Cliquez pour tweeter

Par François Guérard

Formateur en RGPD et business development

https://www.bizdev34.fr