Le métier de DPO

Les pré-requis du DPO 

Le DPO doit être désigné sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions (article 37.5 du RGPD).

Devenir délégué à la protection des données (DPO) suppose donc la réunion de certaines qualités et compétences, telles que :

• De bonnes connaissances en matière de protection des données à caractère personnel, et notamment de législation en vigueur tant au niveau européen que français 
• Des connaissances du secteur de l’activité et de l’organisation de l’organisme concerné (opérations de traitement, systèmes d’information…) 
• Des connaissances des technologies de l’information et de la sécurité des données
• Une capacité à communiquer de manière efficace tant à l’oral qu’à l’écrit
• Un esprit d’analyse et de synthèse

Ces fondamentaux sont des éléments importants à prendre en considération lors de la nomination de son délégué à la protection des données.

Le statut du DPO

Le RGPD impose aux organismes nommant un délégué à la protection des données de mettre en place certaines dispositions pour s’assurer de son statut. Ainsi l’organisme qui a nommé un DPO doit mettre en œuvre toutes les mesures pour lui faire bénéficier de son soutien.

Ce soutien peut-être apporté par la mise à dispositions de moyens et outils nécessaires à l’exercice des missions du DPO :

• L’associer de manière appropriée et en temps utile à toutes les questions relatives à la protection des données personnelles
• La fourniture d’informations le plus en amont possible sur les projets de traitement de données à caractère personnel
• L’accès aux bases de données
• La publication des coordonnées du DPO pour les personnes concernées par le traitement ;
• L’allocation de ressources financières ;
• La fourniture d’infrastructures, de supports, d’une équipe.

Par ailleurs, le métier d'un DPO demande d'être capable d’exercer ses fonctions et ses missions en toute indépendance. Il ne doit recevoir aucune instruction dans l’exercice de ses fonctions, ni même être sanctionné.

Exemples de situations où le DPO ne pourra être sanctionné :

• Lorsqu'il conseille au responsable de traitement de réaliser une analyse d’impact, mais que ce dernier ne serait pas d’accord
• Lorsqu’une violation de données survient, il ne peut être responsable et donc par conséquent sanctionné

Lorsque le DPO est désigné en interne, il faut veiller à ce qu’il ne soit pas en situation de conflit d’intérêt, notamment en cas de cumul de fonctions (article 38.6 du RGPD).

Il peut exister un risque de conflits d’intérêt lorsqu’un DPO est nommé en interne au sein d’un organisme et que ses fonctions présupposent la détermination des finalités et moyens du traitement.

Par exemple si :

• Le DPO est le directeur général de l’organisme
• Le DPO est le responsable des ressources humaines au sein de l’organisme
• Le DPO est le responsable informatique de l’organisme

Le risque de conflits d’intérêts s’apprécie au cas par cas, notamment en fonction de l’organisation structurelle de l’organisme concerné.

Les missions liées au métier du DPO

Véritable gage de conformité en matière de protection des données à caractère personnel, le DPO est chargé au sein d’un organisme (article 39 du RGPD) de :

• Informer et conseiller le responsable de traitement, les sous-traitants ainsi que leurs collaborateurs 
• Contrôler le respect du RGPD et du droit national en matière de protection des données à caractère personnel au sein de l’organisme concerné
• Conseiller l’organisme concerné sur la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel et en vérifier l’exécution 
• Coopérer avec la CNIL
• Etre le point de contact avec les personnes concernées par les traitements de leurs données à caractère personnel

La mission d’information & conseil

En tant qu’expert de la conformité au RGPD, le DPO exerce une mission d’information et de conseil auprès du responsable de traitement, des sous-traitants et collaborateurs. Il doit donner, sur demande ou de sa propre initiative, toute recommandation jugée utile au responsable de traitement et aux sous-traitants.

En parallèle, le DPO aide l’organisme à adopter des mesures techniques et organisationnelles permettant de garantir à tout moment le respect du RGPD (formulation de politiques de confidentialité des données personnelles, notification des violations des données, ...)

Le DPO est également chargé de sensibiliser tant le responsable de traitement que les sous-traitants et les collaborateurs quant aux obligations relatives à la protection des données à caractère personnel.

La mission de contrôle du respect du RGPD

Le DPO est en charge de la tenue et du suivi régulier et systématique du registre de traitement afin de contrôler la conformité au RGPD et le respect des droits et libertés des personnes concernées. À cet effet, le DPO pourra réaliser des missions d’audit auprès de l’organisme.

L’objectif de ces audits est d’identifier le niveau de conformité de l’organisme au regard des obligations qui lui incombent en matière de traitement de données à caractère personnel.
Le DPO ne pourra être tenu personnellement responsable en cas de non-conformité au RGPD puisque c’est au responsable de traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer de la conformité des traitements au règlement européen.

La mission de conseil dans le cadre d’une analyse d’impact

Une analyse d’impact sur la protection des données à caractère personnel (AIPD) est une étude qui doit être menée lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le rôle est d’accompagner le responsable de traitement tout au long de sa mise en conformité au RGPD.
Dès lors, lorsqu’une analyse d’impact est réalisée par le responsable de traitement, la mission de conseil du DPO portera sur :

• L’opportunité de réaliser l’analyse d’impact
• La méthodologie à suivre
• Les modalités de réalisation de l’analyse d’impact
• Les mesures de protection à appliquer pour atténuer les risques aux droits et libertés des personnes concernées
• La qualité de la réalisation de l’analyse d’impact et la validité de ses conclusions (nécessité ou non de consulter la CNIL, possibilité de procéder au traitement…)

La mission de coopération avec l’autorité de contrôle compétente

Le DPO doit répondre à l’ensemble des demandes émanant de l’autorité de contrôle, qu’elle pourrait émettre à l’occasion d’un éventuel contrôle, d’une consultation sur une analyse d’impact, d’une réclamation ou encore de la notification d’une violation de données à caractère personnel. En France, le DPO doit faciliter l’accès aux documents et informations relatifs à la protection des données à caractère personnel par la Commission Nationale de l’Informatique et des Libertés, dite CNIL.

Par ailleurs, si l’organisme est victime d’une violation de données à caractère personnel, le DPO doit la notifier à la CNIL dans un délai de 72 heures au plus tard après avoir pris connaissance de celle-ci.

La mission d’assistance des personnes concernées par la collecte de leurs données à caractère personnel

L’une des missions principales du DPO est de garantir la protection des données à caractère personnel, conformément aux dispositions du RGPD, et aux droits et libertés des citoyens européens.
En raison de son rôle de point de contact, le DPO doit répondre à toutes les questions des personnes concernées par le traitement de leurs données à caractère personnel, et les informer des droits qu’elles peuvent exercer (droit d’accès, droit à l’oubli, droit de limitation…).

De plus, dans le cadre d’une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, le DPO doit communiquer cette violation de données à la personne concernée dans les meilleurs délais.