La mission du DPO

Le Règlement Général sur la Protection des Données – RGPD n’oblige pas nécessairement la désignation d’un délégué à la protection des données – DPD /DPO – auprès de la CNIL. Cependant, la CNIL l’encourage et le recommande vivement pour toute structure, en termes de bonne pratique et d’élément de preuve de conformité.

Mais quel est le rôle et la mission du DPD / DPO ? Quelles tâches confier à son DPD / DPO ?

Nous pouvons regrouper en 4 catégories, les missions principales du délégué à la protection des données :

Pour cela, le DPD / DPO se doit de tenir une veille juridique constante. Ainsi, il se tiendra informé des évolutions réglementaires. Son rôle est également de conseiller le Responsable de traitement sur les décisions à prendre en matière de protection des données. En tant que chef d’orchestre de la conformité RGPD, sa responsabilité sera de tenir informés le Responsable de traitement, les sous-traitants de l’organisme, les salariés et tous les tiers pour les informer et les aider sur concernant l’exercice de leurs droits. Enfin, l’une des premières missions de délégué à la protection est la sensibilisation de l’ensemble du personnel pour les intégrer dans le projet de conformité RGPD, afin de développer une vraie culture RGPD.

Selon le RGPD, le délégué à la protection des données se doit de garantir le droit des personnes, en mettent en place des procédures et de la documentation – politique de confidentialité, mentions d’informations … De plus, c’est souvent sur le DPD / DPO que revient la tâche de la mise en place, d et du contrôle des différents registres obligatoires – registres des traitements, registres des demandes de droits, registre des violations de données.

Également, il devra être intégré dans la mise à jour contractuelle, pour s’assurer de la conformité des documents – présence ou non de clause RGPD pour informer les personnes concernées.

Pour finir, il devra conduite régulièrement des audits auprès des différents services pour s’assurer de la conformité des traitements, que ce soit des nouveaux traitements – privacy by design – ou des traitements existants – privacy by default.

En tant qu’interlocuteur privilégié sur la protection des données, le DPD / DPO devra surveiller et prévenir les risques potentiels en tenant compte de la gravité du risque encourus, ainsi que la vraisemblance du risque – quelle probabilité ? A cet effet, plusieurs outils existent pour faciliter cette mission : la réalisation d’analyse de risques, puis en fonction des conclusions, la conduite d’une analyse d’impact – AIPD. De plus, la CNIL a mis en place une liste des traitements nécessitant une AIPD et les traitements ne faisant pas l’objet d’une obligation d’AIPD.

L’un des points essentiels à garder en tête est l’importance des relations et des échanges entretenus avec la CNIL. Evidemment, le DPD / DPO prend contact avec l’autorité de contrôle dès sa désignation, puisqu’il doit s’enregistrer officiellement sur le site de la CNIL. Mais, les relations avec la CNIL ne doivent pas s’arrêter là.

Effectivement, le rôle de la CNIL n’est pas uniquement de sanctionner les organismes, mais également de les conseiller dans leur démarche de mise en conformité au RGPD et à la Loi Informatique et Libertés. C’est pourquoi, il est primordial pour un DPD / DPO de maintenir un échange en continu avec la CNIL. Il aura un rôle important à jouer en cas de contrôle par la CNIL. Il devra alors coopérer avec l’autorité de contrôle, en répondant aux questions et en mettant à disposition les éléments réclamés par la CNIL.

Les missions confiées au délégué à la protection des données lui demanderont des qualités humaines, organisationnelles et un grand sens pédagogique, ainsi que des compétences juridiques et informatiques, et une bonne connaissance du secteur d’activité de l’organisme.  Impliquer l’ensemble du personnel est la clé de la réussite pour mener à bien le projet de mise en conformité RGPD.