Depuis l’entrée en vigueur de la loi rgpd (Règlement Général de l’Union européenne sur la Protection des Données) en mai 2018, les conversations ont beaucoup porté sur les changements que les organisations doivent apporter pour se conformer aux nouvelles règles. L’un des angles les moins discutés et les plus intrigants du RGPD est de savoir qui sera responsable de ces changements au sein d’une organisation.
Pour de nombreuses organisations, la mise en conformité avec le RGPD implique la désignation d’un délégué à la protection des données (DPO).
Ce n’est pas un titre de poste familier pour beaucoup d’employeurs, alors examinons un peu plus en détail ce que le rôle d’un délégué à la protection des données implique. En bref, le DPO est chargé de s’assurer que les opérations de traitement des données d’une organisation sont conformes aux normes du RGPD, et d’offrir des conseils et des orientations pour atteindre cet objectif.
Que fait un délégué à la protection des données ?
Le RGPD exige qu’un délégué à la protection des données ait une « connaissance experte de la législation et des pratiques en matière de protection des données » qui lui permette de conseiller les responsables du traitement des données et les sous-traitants sur les exigences du RGPD. Cela peut impliquer :
- Diriger des sessions de formation pour les employés,
- Attribuer des responsabilités en matière de protection des données,
- Préparer le personnel aux audits de données,
- Évaluation du risque de diverses opérations sur les données,
- Assure également la liaison entre votre organisation et les autorités, en supervisant la collecte et le traitement de vos données,
- En ce qui concerne la partie « protection » de l’intitulé du poste, un DPO est censé être actif sur plusieurs fronts :
- S’assurer que les responsables du traitement des données connaissent leurs responsabilités et leurs obligations envers leurs utilisateurs,
- Cataloguer tous les traitements de données de l’organisation dans un registre,
- Signaler les risques potentiels au Contrôleur européen de la protection des données (CEPD),
- Travailler avec le CEPD et le collecteur de données pour résoudre les réclamations et atténuer ces risques.
Pour l’essentiel, un DPO est un expert interne qui peut guider une organisation dans le paysage souvent complexe du traitement des données à l’ère du RGPD. Si les compétences requises sont assez spécifiques, le RGPD laisse en fait une certaine marge de manœuvre quant à la personne qui peut remplir ce rôle. Votre DPO peut être engagé au sein de votre organisation ou en tant que sous-traitant. Le DPO peut occuper un poste à temps plein ou à temps partiel, pour autant que son travail réponde aux critères du RGPD. Dans certains cas, plusieurs organisations peuvent même partager le même DPO.
Gardez toutefois à l’esprit qu’il est important d’éviter tout conflit d’intérêts potentiel. Si vous envisagez de nommer une personne de votre organisation qui est déjà impliquée dans la collecte ou le traitement des données des utilisateurs, il serait bon de chercher ailleurs.
N’oubliez pas non plus que l’indépendance est une composante essentielle du poste de DPO. Votre délégué à la protection des données ne doit pas relever d’un supérieur hiérarchique direct autre que la direction générale, cf. article 38 (3), et doit avoir un accès libre à toutes les opérations de collecte et de traitement des données au sein de votre organisation.
Il est important de noter que votre DPO n’est pas tenu personnellement responsable si votre organisation ne respecte pas le RGPD. La seule responsabilité incombe toujours à l’organisation elle-même.
Qui doit engager un DPO ?
Toutes les organisations n’ont pas besoin de nommer un délégué à la protection des données pour rester en conformité avec le RGPD. La nécessité d’un DPO n’est pas déterminée par la taille ou le budget de votre entreprise (bien que les premières ébauches aient suggéré qu’un DPO serait nécessaire pour toute entreprise privée de plus de 250 employés), mais plutôt par le type de données que votre entreprise traite et la manière dont elles sont traitées.
L’article 37 (1) du RGPD stipule qu’un DPO est requis pour :
- Toute autorité ou tout organisme public (à l’exception des tribunaux et autres autorités judiciaires),
- Les organisations dont les activités principales consistent en des opérations de traitement qui nécessitent un suivi régulier et systématique des personnes concernées à grande échelle,
Les organisations dont les activités principales consistent à traiter à grande échelle des catégories spéciales de données :
- La race ou l’origine ethnique,
- Les opinions politiques,
- Les croyances religieuses ou philosophiques,
- Le statut syndical,
- L’état de santé,
- L’orientation sexuelle et histoire,
- L’identité génétique ou biométrique.
Cette considération facilite les choses pour les entreprises privées qui ne s’occupent pas de la surveillance régulière et automatisée des données ou des informations hautement personnelles. Toutefois, il n’est pas mauvais de nommer un responsable de la sécurité de l’information, même s’il n’est pas tenu de surveiller et de gérer les données. (N’oubliez pas de ne pas utiliser le titre de « responsable de la protection des données » si vous n’êtes pas soumis à la réglementation du RGPD).
Si vous devez engager un DPO, cela ne doit pas être considéré comme une charge. Au-delà de la conformité de votre organisation aux normes du RGPD, un DPO (ou, au minimum, un responsable de la sécurité de l’information) peut vous fournir des conseils et une formation qui vous aideront à gérer les données plus efficacement, à planifier les futures stratégies basées sur les données et à accroître la confiance des consommateurs dans votre site web.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : Avocat RGPD.