RGPD rôle du délégué à la protection des données (DPD / DPO)
Vous êtes ici : Accueil / Management des collectivités territoriales – le blog / RGPD / RGPD rôle du délégué à la protection des données (DPD / DPO)
DPO et RGPD rôle du délégué à la protection des données
Pour en savoir plus sur nos prestations en matière de DPO pour les communes :
RGPD et DPO rôle du délégué à la protection des données
Le DPO (pour Data Protection officer) ou DPD (Délégué à la protection des Données) a pour mission de s’assurer du bon respect du Règlement Général pour la Protection des Données (RGPD) dans une organisation publique ou privée.
Sa désignation peut être obligatoire dans certains cas. Le poste peut être occupé en interne à la structure ou externalisé.
DPO : ses missions
Pour remplir sa mission le délégué à la protection des données personnelles intervient sur plusieurs volets :
Il informe et conseille le responsable d’un traitement de données, de ses sous-traitants ou de ses collaborateurs.
Rôle d’information du DPO sur le RGPD
Il informe les responsables de traitement des risques juridiques qu’ils encourent en cas de non-respect du RGPD
Il veille à ce que les personnes responsables d’un traitement, directement ou indirectement, soit bien sensibilisées à la protection des données personnelles
Rôle de conseil du DPD relatif au RGPD
Il conseille le responsable de traitement
Il est l’interlocuteur de la CNIL au sein de l’organisation en cela il coopère avec elle en cas de contrôle
Il est le point de contact au sein de l’organisme avec toute personne qui souhaiterait avoir des informations concernant le traitement des données personnelles au sein de l’organisation pour qui il travaille.
Il est ainsi en charge de faire les inventaires de traitements des données personnelles avec les responsables de traitement et les chefs de service, de piloter les processus de mise en conformité.
DPO : Compétences et qualités
Formation précise concernant le Règlement général pour la protection des données
Le délégué à la protection des données doit, et c’est une évidence, connaître le RGPD.
Ce qui signifie qu’il soit formé et qu’il attache à sa mission un intérêt réel. Souvent cette tâche est confiée à un membre du personnel en plus d’autres missions.
Le DPD, personne aux qualités d’écoute et de dialogue
C’est une femme ou un homme de dialogue qui sait faire preuve de discrétion au regard des multiples informations personnelles auxquelles elle ou il a accès.
Il doit être en mesure d’analyser les situations, de conseiller les responsables de traitement avec diplomatie mais fermeté.
C’est également un bon pédagogue. L’acquisition des règles du RGPD nécessite un travail continu.
Le DPD n’est pas un donneur de leçon. Il est avant tout un accompagnateur dans la mise en place du RGPD.
Il doit avoir les compétences d’un chef de projet capable de travailler en transversalité, être à l’écoute de ses collègues, avoir un esprit d’analyse et de synthèse.
Formation et origine professionnelle du DPO
L’article 37 du RGPD précise que le DPD est désigné sur la base de ses qualités professionnelles. Qualités qu’il convient de prendre en compte au sens large.
Les personnes occupant ces postes proviennent essentiellement de 3 catégories de profil : informaticien, juriste, spécialiste de l’organisation.
Il n’y a pas a priori de profil type. Le principal est que le délégué, quelque soit son origine, soit capable d’appréhender les différents volets de sa mission. Ses missions requièrent donc des connaissances juridiques, informatiques et organisationnelles.
Dans tous les cas les compétences nécessaires à la mise en œuvre et au contrôle de la bonne application du RGPD s’acquièrent en suivant une formation spécifique.
Le niveau de connaissances générales et spécifiques se détermine en fonction de la nature même de l’organisation auquel il est rattaché.
Il doit se tenir informé constamment de l’évolution de réglementation, de la jurisprudence, des différentes délibérations prises par la CNIL.
DPO : Responsabilité relative au RGPD
Sanction du DPD dans le cadre de sa mission
Rappelons tout d’abord que le responsable d’un traitement est DPD celui qui l’a mis en place et exploite les données.
L’article 38-3 précise que le DPD « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions ».
Le responsabledu traitement ou le sous-traitant ne peuvent se réfugier derrière le DPD.
Le DPD peut être sanctionné s’il accomplit mal sa mission
Cependant la responsabilité du délégué à la protection des données peut voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales des règles protectrices des données personnelles ou s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales.
Si le délégué est interne comme tout slarié il n’est pas à l’abir de sanction. Il est possible de la licencier s’il commet une faute, s’il ne fait pas correctement son travail, pour motif économique …
Il a également une responsabilité envers son employeur en cas de non respects des obligations vis-à-vis des fonctions qui lui ont été confiées.
Il en est de même en cas d’externalisation de la fonction. Le consultant ou l’expert pourra voir sa responsabilité engagée s’il ne remplit âs sa mission. DAns ce cas il faut se tourner vers la contrat qui lie le délégué externe et l’organisme. Mais dans tous les cas l’indépendance du délégué ne pourra pas être remise en cause.
Délégué à la protection des données : Incompatibilités des fonctions
Le DPO ne peut être en conflit d’intérêt dans le cadre de l’exercice de ses missions. Ce qui exclut les directeurs généraux, directeurs des ressources humaines, directeurs financiers, directeurs marketing, médecins-chefs, directeurs informatiques …
Il pourra être associé à la rédaction d’une charte informatique mais il ne pourrait pas en être le promoteur et le rédacteur.
Il ne peut pas exercer de tâches qui le conduiraient à définir les finalités et les moyens de traitement de données personnelles.
Le responsable de traitement ne peut pas lui donner de directives concernant l’application de sa mission relative au RGPD.
Le DPD est soumis à la discrétion professionnelle et a une obligation de confidentialité.
DPO : positionnement pour l’application du RGPD
DPD – Délégué à la protection des données interne
Le DPO peut être un employé de l’organisme. Il peut être affecté, en fonction de l’importance de la structure, à temps plein ou à temps partiel. Ce qui est primordial c’est qu’il soit bien identifié, qu’il est le temps nécessaire pour accomplir sa mission. Le DPO doit avoir un positionnement hiérarchique suffisant pour qu’il ait une autorité suffisante.
Un délégué interne présente l’avantage de bien connaître la structure de s’investir, a priori, sur le moyen ou long terme. Par contre dans les petites structures la mission de délégué à la protection des données peut être considérée comme annexe et la formation peut parfaois être insuffisante.
L’indépendance du délégué interne peut être difficile à respecter si ce dernier n’est pas fermement soutenu par la direction générale.
DPD – externalisé
Les organisations publiques ou privées peuvent également confier les mission de DPO à des consultants extérieurs dans le cadre de contrat de prestation de services.
L’externalisation présente l’avantage d’avoir affaire à un professionnel spécialisé dans ce domaine. Le délégué externe est assuré, ce qui peut présenter un avantage pour l’organisme pour qui il travaille qui pourra se retourner vers lui en cas d’amende si le délgué est responsable de la faute commise. Par exemple si le délégué n’a pas informé correctement des règles à suivre et des sanctions encourues sa responsabilité pourra être engagée. A contrario si le délégué a conseillé une analyse d’impact au responsable de traitement et que celui-ci n’y donne pas suite pour des raisons qui lui appartiennent, la responsabilité du DPO externe ne sera pas engagée.
Le recours à un délégué à la protection des données externe ne dispense cependant pas l’entreprise ou la collectivité de désigner un correspondant interne qui sera le référent du délégué dans le cadre de l’exercice de sa mission. Ceci est fortement conseillé.
DPD mutualisé
Il est également possible que plusieurs structures mutualisent entre elles un délégué à la protection des données. C’est souvent le cas pour les communes qui mutualisent les postes de DPD avec l’établissement public de coopération intercommunale (EPCI) auquel elles appartiennent.
Il est important dans ce cas que le délégué soit bien identifié dans chaque structure ou il intervient. Il est indispensable que dans chacune d’entre elles il y est un correspondant avec qui il puisse travailler.
DPD aux multiples fonctions
A l’intérieur même de l’organisme le DPD peut exercer des fonctions mutualisées. C’est ainsi qu’un DPO pourra être en même temps responsable qualité. Mais il faut faire attention à ce que de multiples attributions à un DPO en plus de la protection des données personnelles ne génèrent pas de conflit d’intérêt comme ce pourrait être le cas si le DPD était en même temps chargé de la sécurité informatique.
Obligation d’avoir un DPO (certifié ou non)
La présence d’un DPO est obligatoire dans certains cas
Les organisations ont l’obligation d’avoir un délégué à la protection des données, selon l’article 37 du RGPD dans les cas suivants.
Les organismes et entreprises publiques à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. Les collectivités territoriales ont donc l’obligation d’avoir un DPD.
Les organismes exerçant un traitement à grande échelle de données qui du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique du traitement
Les organismes dont les activités de base du traitement ou du sous traitant concernent des catégories particulières de données ou des données relatives à des condamnations pénales et à des infractions (cf. article 10 du RGPD)
Certification
La CNIL a mis en place un dispositif de certification de DPO. Elle a confié à divers organismes qu’elle a labellisés à cet effet la mission de certifier des personnes pour exercer la fonction de DPD.
La certification des DPO tend maintenant à se développer tout en restant facultative.
DPO interlocuteur désigné
Le délégué à la protection des données est le point de contact pour l’autorité de contrôle et les personnes concernées.
Les coordonnées du DPD doivent être mises à disposition du public afin que toute personne sache à qui s’adresser pour avoir des informations sur le traitement des données personnelles. Cette information n’est pas obligatoirement nominative, ce peut être par exemple une adresse mail dédiée.
La CNIL doit savoir également comment le contacter en tant que de besoin.
le Délégué à la protection des données au cœur des organisations
Le délégué à la protection des données a ainsi un double rôle de conseil et de contrôle. Son périmètre d’intervention est très large.
Il doit être formé aux dispositions législatives et réglementaires nationales et européennes.
Il doit connaître le fonctionnement et les buts de l’organisation dans laquelle il travaille.Il doit se tenir informé des évolutions juridiques, informatiques et des changements d’organisation de son entreprise ou sa collectivité.
Pour en savoir plus sur nos prestations en matière de délégué à la protection des données pour les collectivités territoriales :
Articles récents
- Comment la Communication Interne Renforce le Travail Transversal dans les Services Communaux
- Conseils essentiels pour optimiser la gestion de votre collectivité locale
- Pourquoi l’Optimisation de Gestion Locale est-elle Cruciale ?
- RGPD rôle du délégué à la protection des données (DPD / DPO)
- RGPD et collectivités territoriales – Préconisations de la CNIL
GMTO-CONSEIL Pays-de-la-Loire
(siège)
4 rue de la Trocardière
44 400 – Rezé
06 17 11 80 84
