La mise en conformité au RGDP nécessite la protection des données personnelles. En effet, la collecte et le traitement des données sensibles est soumise à de un nouveau règlement européen depuis le 25 mai 2018. Les TPE et les PME doivent désormais être conformes au RGDP pour éviter les amendes et les sanctions imposées par la CNIL. Pour cela, les entreprises doivent mettre en place des opérations de traitement qui assurent la protection optimale des données collectées. C’est pourquoi, choisir un délégué à la protection des données (DPO) est devenu obligatoire. Il s’agit en effet du premier responsable du traitement et de la gestion des données personnelles. En tant que tel, il a le devoir d’assurer l’inventaire par le biais du registre de traitement et le contrôle des données collectées par l’entreprise. Suivant la taille de l’entreprise, le DPO peut être un employé, le gérant ou encore une entité venant de l’extérieur. D’après le RGDP, il est obligatoire de désigner un délégué lorsqu’une entreprise gère des données à caractère personnel à grande échelle. Dans ce cas, le DPO ne doit pas faire partie de l’entreprise. Il sera en charge de la sécurisation des données
Quel est le rôle d’un délégué pour la protection des données ?
Le délégué pour la protection des données est en charge de la mise en conformité de l’entreprise au règlement européen. Ce dernier donne lieu à de nouvelles obligations en matière de collecte de données, d’analyse de données et de conservation de données traitées. Pour les personnes concernées, la désignation d’un DPO est la garantie de la non-violation de leurs vies privées. De ce fait, le délégué, qu’il soit désigné en interne ou en externe, a la charge de conseiller le responsable de traitement au niveau de l’entreprise ou des sous-traitants. Il a également le rôle de contrôler le respect de la protection des données et de la sécurité informatique. En outre, le DPO a la charge de conseiller l’entreprise sur la mise en place d’une analyse d’impact relative à protection des données et de son exécution. En somme, le DPO contrôle l’ensemble du traitement des données.
DPO, qui choisir comme responsable ?
Pour déterminer le responsable de la protection des données, il est important de se référer à l’article 37.5 du règlement européen. Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». De ce fait, le DPO doit disposer de certaines compétences telles que la capacité à s’exprimer efficacement et à réaliser ses missions de manière indépendante. Il ne doit y avoir aucun conflit d’intérêts. Il doit également avoir une bonne connaissance des législations en rapport avec la protection des données. Pour cela, le DPO doit avoir une certaine maîtrise des opérations de traitement de données, des systèmes d’analyse et de la sécurité des données sensibles. Cependant, il n’y a pas de profil type d’un délégué pour la protection des données. Il peut tout à fait être issu du domaine juridique, technique ou d’autres secteurs. Vous pouvez obtenir plus d’informations ici.
Quels sont les organismes qui doivent désigner un DPO ?
La désignation d’un délégué pour la protection des données est obligatoire pour les organismes publics, les entreprises qui collectent et traitent des données à grande échelle et les organismes qui gèrent des données sensibles et en assurent un suivi systématique. Le DPO doit disposer de compétences professionnelles requises ainsi que des ressources nécessaires pour l’exercice de ses missions. En outre, le délégué doit savoir communiquer de manière efficace avec l’autorité de contrôle comme la CNIL et les personnes concernées par la collecte des données.