Le délégué à la protection des données (DPO)

Données personnelles 345 Vues 0 commentaire

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

Le délégué à la protection des données, plus couramment appelé DPO, pour « Data Protection Officer » est né avec le Règlement Général sur le Protection des Données (RGPD), le 25 mai 2018. Ce sont les articles 37 et suivants du règlement[1] qui l’encadrent juridiquement. Dans certains cas, il s’agit d’un rôle phare au sein d’un organisme ou d’une entreprise, parfois obligatoire.

Différentes questions restent toutefois en suspens : quand sa désignation est-elle nécessaire ? Quelles sont ses missions ? Quel est son statut ? Peut-on engager sa responsabilité ?

Quand sa désignation est-elle obligatoire ?

Le responsable de traitement et le sous-traitant sont amenés à désigner un DPO dans des situations énumérées à l’article 37 du RGPD, autrement dit lorsque :

  • Le traitement est effectuĂ© par une autoritĂ© publique ou un organisme public (ex : ministère ou collectivitĂ©s territoriales),
  • Les activitĂ©s du responsable de traitement ou du sous-traitant consistent en des opĂ©rations de traitement qui exigent un suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle (ex : compagnie d’assurance, banque, opĂ©rateurs tĂ©lĂ©phoniques),
  • Les activitĂ©s du responsable de traitement ou du sous-traitant consistent en un traitement Ă  grande Ă©chelle de donnĂ©es sensibles (ex : sur l’origine ethnique, les opinions religieuses), ou des donnĂ©es relatives Ă  des condamnations pĂ©nales et Ă  des infractions.

Quelles sont ses missions ?

Le DPO doit effectuer au minimum les missions qui sont énumérées à l’article 39 du RGPD[2] :

  1. Informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ;
  2. Contrôler le respect au RGPD, ainsi que d’autres dispositions du droit de l’Union ou du droit des Etats-membres en matière de protection des données ;
  3. Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données. En effet, lorsqu’un traitement recourt par exemple aux nouvelles technologies, il sera nécessaire d’observer le risque pour les droits et libertés des personnes physiques ;
  4. Coopérer avec l’autorité de contrôle (la CNIL), c’est-à-dire que le DPO doit faciliter l’accès à l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité ;
  5. Lorsque l’analyse d’impact indique que le traitement des données présente un risque, alors, le DPO fait office de point de contrôle pour l’autorité de contrôle sur les questions relatives au traitement en cas de consultation préalable par le responsable de traitement.

Dans l’exercice de ses missions, le DPO est soumis à une obligation de confidentialité.

Quel est son statut ?

Le DPO n’est pas celui qui est responsable de traitement des données à caractère personnel, mais il va assister ce responsable, dans l’objectif de faire respecter le RGPD dans l'entreprise. Le responsable de traitement des données à caractère personnel est l’autorité publique, la société ou l’organisme qui va déterminer les finalités des données collectées.

Le DPO jouit dans l'exercice de ses missions d'une grande indépendance. En effet :

  • Aucun conflit d’intĂ©rĂŞt ne doit exister entre la fonction de DPO et une autre fonction (ex : secrĂ©taire gĂ©nĂ©ral ou directeur gĂ©nĂ©ral),
  • Il ne doit pas avoir Ă©tĂ© sanctionnĂ© dans l’exercice de ses missions de DPO,
  • Il ne doit pas recevoir d’instruction dans le cadre de ses missions.

Il peut s’agir d’un délégué à la protection des données interne à l’entreprise (membre du personnel du responsable de traitement) ou externe. A ce titre, CGV-Expert vous propose de désigner un avocat spécialisé en tant que délégué à la protection des données (vous pouvez demander l'envoi d'un devis à ce propos en utilisant le formulaire ci-dessous).

Peut-on engager la responsabilité du DPO ? 

Le non-respect du RGPD n’entraîne pas la responsabilité du DPO mais celle de l’organisme qui a désigné le délégué à la protection des données ou du sous-traitant. Autrement dit, le responsable de traitement ou le sous-traitant seront les responsables.

Bien entendu, le DPO verra sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales des règles protectrices des données personnelles ou s’il aide le responsable de traitement ou le sous-traitant au non-respect du RGPD.

 

[1]Articles 37 et suivants du Règlement Général sur la Protection des Données

[2] Article 39 du Règlement Général sur la Protection des Données

Obtenez un devis en 24 heures par nos avocats

Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :

Type de contrat :

Votre besoin :

Votre besoin :

Votre besoin :

Type de règlement :

Votre besoin :

Vos informations :

* : champs obligatoires

Commentaires

Aucun commentaire

Donnez votre avis

* : champs obligatoires

Lectures en lien

un batiment Ă  l'architecture moderne

Modalités et conditions de revente d'un fichier de clients via internet

Donnees personnelles 1065 Vues 0 commentaire

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"

Le RGPD, un outil de protection des données personnelles

Donnees personnelles 232 Vues 0 commentaire

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone

Google Ads (AdWords) et protection des données personnelles

Donnees personnelles 280 Vues 0 commentaire

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne

Hébergement et stockage de données médicales sensibles

Donnees personnelles 762 Vues 0 commentaire

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur

Statut d'hébergeur/éditeur : conservation des données personnelles

Donnees personnelles 314 Vues 0 commentaire

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook

RGPD : le registre des activités de traitement de données personnelles

Donnees personnelles 585 Vues 0 commentaire

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

une personne tapant au clavier de son pc portable

L'identification d'une personne à partir d’une adresse IP

Donnees personnelles 3277 Vues 1 commentaire

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques

Comment réussir sa mise en conformité RGPD ?

Donnees personnelles 395 Vues 0 commentaire

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur

RGPD : l'indispensable politique de confidentialité

Donnees personnelles 728 Vues 0 commentaire

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.