Les obligations du DPO

Demande de conseil

Quelles sont les obligations du Data Protection Officer ?

Le délégué à la protection des données (DPO) est un acteur incontournable du RGPD jouant le rôle de chef d’orchestre de la conformité au sein d’un organisme.

Bien que le DPO dispose de garanties quant à son statut au sein des organismes, il est également assujetti à diverses obligations en raison de ses missions :

Maintenir les connaissances liées à la protection des données à caractère personnel
Se déclarer auprès de la CNIL
Conseiller et informer l'organisme en matière de protection des données
Respecter le secret professionnel
Assurer le suivi des traitements
Formaliser les dispositions prises pour se conformer au RGPD
Répondre aux personnes concernées par la collecte de données à caractére personnel
Coopérer avec la CNIL

L’obligation du maintien des connaissances liées à la protection des données à caractère personnel

Le RGPD exige que le DPO soit désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances approfondies du droit et des pratiques en matière de données à caractère personnel.
Autrement dit, le DPO dispose en principe des connaissances spécialisées de la réglementation européenne (RGPD) et du droit national en matière de protection des données à caractère personnel.

Cette compréhension du secteur, de l’organisation de l’organisme, des technologies de l’information et de la sécurité des données est fondamentale pour qu’un délégué à la protection des données puissent exercer de manière efficace ses missions.

Toutefois, une fois désigné le DPO doit continuer à entretenir son savoir en matière de protection des données tout au long de ses fonctions :

Rédaction de veilles juridiques
Lecture de l’actualité
Suivi régulier de la jurisprudence européenne et nationale
Participation active à des réunions d’informations relatives aux pratiques du secteur d’activité de son organisme

bandeau-cabinet

L’obligation de se déclarer auprès de la CNIL

Le DPO a l’obligation de se déclarer au préalable auprès de l’autorité de contrôle avant d’exercer ses missions au sein d’un organisme. Ainsi en France, la personne désignée comme délégué à la protection des données devra faire mention de sa nomination auprès de la Commission Nationale de l’Informatique et des Libertés, dit CNIL. Cette déclaration de nomination est numérique et se fait directement sur le site de la CNIL. Cette désignation doit être accompagnée de la déclaration de diverses informations concernant l’organisme qu’il représente.

Cette démarche de déclaration préalable permet de rendre la fonction de DPO officielle, et d’effectuer d’éventuels contrôles par l’autorité de contrôle. Le DPO devra ainsi se déclarer comme étant le point de contact privilégié auprès de la CNIL, et de toute personne concernée par le traitement de ses données à caractère personnel.

Le RGPD a accru la sensibilisation de la quasi-totalité des organismes publics et privés, tout comme celle des citoyens quant à la protection des données à caractère personnel. Si bien que cette prise de conscience générale a engendré l’explosion du nombre de déclaration de DPO auprès de la CNIL.

En 2018, 13 000 DPO ont été déclarés auprès de l’autorité française de contrôle, tandis qu’au cours de l’année 2019, 19 000 DPO ont été recensés.

L’obligation de conseil

Le DPO a une obligation de conseil envers l’organisme qui l’a désigné. En effet, le DPO conseillera le responsable de traitement ou le sous-traitant dans la mise en œuvre de sa conformité au RGPD, sous son œil avisé d’expert en matière de protection des données à caractère personnel.

Il aidera l’organisme à adopter des mesures techniques et organisationnelles afin de garantir et prouver à tout moment le respect du RGPD. Il participera à cet effet à :

Proposer un plan d’action à l’organisme
Tenir et mettre à jour de manière régulière le registre de traitement des données
Identifier des outils et des paramétrages à retenir en vertu des principes de protection des données dès la conception (« privacy by design») et par défaut (« privacy by default ») (article 25 du RGPD).
Accompagner l’organisme dans la mise en œuvre d’analyse d’impact
Notifier la violation de données à caractère personnel à la CNIL et aux personnes concernées

L’obligation d'information

Dans son rôle d’accompagnateur dans les démarches de conformité d’un organisme, le DPO a l’obligation de fournir toute information utile au responsable de traitement ou aux sous-traitants.
Le DPO est également chargé de sensibiliser à la fois le responsable de traitement, les sous-traitants et les collaborateurs quant à la protection des données à caractère personnel.

Cette sensibilisation pourra être réalisé par le biais de séances d’informations, de rubriques sur le site internet de l’organisme ou encore de la mise en place d’un guide pratique au sein de l’organisme. Le DPO est donc le point de contact privilégié entre le responsable de traitement, les sous-traitants, la CNIL et les personnes concernées.

Toute personne concernée par la collecte de ses données à caractère personnel pourra s’adresser au DPO afin de lui poser des questions. Ce dernier devra alors répondre à toutes leurs demandes dans les meilleurs délais. Une fois de plus, le rôle du DPO quant à la protection des données et droits et libertés des personnes concernées prend tout son sens. C’est la raison pour laquelle le DPO doit être joignable facilement et ses coordonnées doivent être rendues publique.

bandeau-mise-conformite

L’obligation de confidentialité

Compte tenu de la nature des informations dont il a accès, le DPO est tenu au secret professionnel, ou à une obligation de confidentialité vis-à-vis du responsable de traitement en ce qui concerne l’exercice de ses missions (article 38.5 du RGPD).
Néanmoins cette obligation de confidentialité ne doit pas empêcher le DPO de demander conseil à la CNIL sur tout sujet, si cela est nécessaire pour l’exercice de ses missions.

L’obligation de suivi des traitements

Le RGPD impose la tenue d’un registre des activités de traitement, permettant ainsi à un organisme de recenser ses traitements de données et de disposer d’une vue d’ensemble sur ce qu’elle fait avec les données à caractère personnel des citoyens (article 30 du RGPD).
Le registre de traitement participe donc à la documentation de la conformité en matière de protection de données à caractère personnel (coordonnées du responsable du traitement, différentes catégories de données traitées, finalités du traitement, durée de conservation…)

Toutefois pour être réellement effectif, le DPO a l’obligation de mettre à jour régulièrement et de manière systématique le traitement de données à caractère personnel afin de suivre l’évolution des activités et des traitements de données de l’organisme. De plus, il doit inclure de nouvelles relations avec des partenaires ou des sous-traitants. Un registre de traitement complet et mis à jour régulièrement constituera l’un des outils permettant au DPO d’exercer ses missions de contrôle du respect du RGPD ainsi que d’information et de conseil auprès du responsable de traitement ou du sous-traitant.

L’obligation de formaliser les dispositions prises pour se conformer au RGPD

Le DPO participe à la mise en place de règles au sein de l’organisme pour se conformer au RGPD.
À cet égard : il met en place :

Il met en place la tenue de la documentation légale
Il formalise la relation avec les sous-traitants
Il organise les transferts hors de l’Union européenne
Il formalise les politiques de confidentialité des données personnelles
Il rédige des mesures techniques et organisationnelles (documentation ANSSI)
Il intègre les règles d’entreprises contraignantes (BCR)
Il participe à la rédaction du code de conduite

dpo-externalise_1

L’obligation de répondre aux personnes concernées par la collecte de données à caractére personnel

Le DPO est l’interlocuteur privilégié entre les personnes concernées et le responsable de traitement si bien qu’il est tenu de répondre à toutes les questions ou réclamations des personnes concernées par le traitement de leurs données à caractère personnel (article 38.4 du RGPD).

Le DPO doit fournir des réponses complètes et satisfaisantes aux personnes concernées, dans les meilleurs délais, c’est-à-dire dans un délai d’un mois maximum à compter de la réception de sa demande (article 12.3 du RGPD).

Les coordonnées du DPO doivent être rendues publiques (par exemple : diffusion des coordonnées du DPO sur le site internet de l’organisme).

L’obligation de coopération avec la CNIL

Le DPO doit répondre à l’ensemble des demandes émanant de la CNIL, qu’elle pourrait émettre à l’occasion d’un éventuel contrôle, d’une consultation sur une analyse d’impact, d’une réclamation ou encore de la notification d’une violation de données à caractère personnel.

À cet effet, le DPO doit faciliter l’accès aux documents et informations par la CNIL. Par ailleurs, si l’organisme est victime d’une violation de données à caractère personnel, le DPO doit la notifier à la CNIL dans un délai de 72 heures au plus tard après avoir pris connaissance de celle-ci.

Contactez-nous

Vous êtes

Vous êtes intéressé(e) par

Votre demande

Je confirme avoir pris connaissance des mentions d’informations et accepte le traitement de mes données à caractère personnelles, tel que décrit dans les mentions d’informations.