Ayant un rôle prédominant dans la protection des données caractère personnel, le DPO ou Délégué à la Protection des Données, doit être nommé avec intelligence. Pouvant appartenir à la structure d’une entité ou être un prestataire externe, il s’assure que les responsables de traitement opèrent selon les nouvelles obligations du Règlement européen. En quoi consiste alors le rôle du DPO ?
Quelles sont les fonctions du DPO ?
Le Data Protection Officer est la personne en charge de la protection des données personnelles dans les organismes privés et publics. Il faut noter que cette fonction n’est pas nouvelle. Autrefois, on attribuait à cette même personne le titre de Correspondant Informatique et Libertés.
Le rôle du DPO s’est démocratisé avec l’arrivée du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018. En effet, cette profession est devenue obligatoire dans certains cas et fortement encadrée. Dans les organismes où la désignation de cet expert relève d’une obligation, il est l’organe de contact de la CNIL. En effet, il est chargé de rapporter les détails de la politique de protection de l’organisme pour s’assurer qu’elle correspond bien aux obligations légales du RGPD.
L’une de ses plus importantes fonctions est de limiter les risques de non-conformité, notamment au regard des lourdes sanctions infligées aux entités dans ce cas. D’ailleurs, il guide et conseille les responsables de traitement de vos données et les sous-traitants pour que tout soit mis en conformité.
DPO externalisé : un choix stratégique et profitable
La réglementation européenne prévoit la possibilité d’externaliser la fonction de DPO, étant donné que ce choix présente quelques avantages :
- Pas de conflits d’intérêts : les traitements de données personnelles nécessitent une grande transparence pour se conformer à la nouvelle Loi Informatique et Libertés. Or, si le DPO est un salarié de l’entreprise, il risque d’y avoir un conflit d’intérêts car il sera enclin à agir en faveur de cette entreprise.
- Maîtrise des coûts : la fonction du DPO étant importante dans le traitement des données, sa rémunération sera égale à celle d’un cadre d’entreprise, ce qui représentera une dépense mensuelle importante. Or, les prestataires externes interviennent uniquement quand c’est nécessaire, ce qui signifie une réduction significative des coûts. Ne travaillant pas à temps plein, il sera plus facile de surveiller les charges pour un DPO externalisé.
- Expertise et gain de temps : travailler avec un DPO vous offre la garantie de collaborer avec un expert (vérification requise) et vous assure un gain de temps, étant donné qu’aucune formation ne sera nécessaire. De plus, en cas de non-atteinte des objectifs, il sera plus simple de se défaire d’un DPO externe incompétent que d’un salarié. C’est donc une solution plus flexible.
Quels sont les critères de choix d’un DPO ?
Le DPO est chargé de donner une directive au traitant de données et aux sous-traitants. On le désigne comme étant le chef d’orchestre, chargé de piloter toutes les activités liées aux traitements de données personnelles. C’est pour cela que sa nomination doit tenir compte des critères suivants :
- Un niveau d’expertise élevé : au vu de la complexité des nombreuses fonctions du DPO, ce prestataire doit avoir de profondes connaissances en informatique et sur tout ce qui est relatif à la protection des données. En outre, pour mener à bien sa mission au sein de l’entreprise, il se doit de bien connaître son fonctionnement.
- Une intégrité et une éthique professionnelle : le DPO a une obligation d’éthique, étant donné que pour assurer son rôle, on lui communiquera des données à caractère personnel. Qu’il soit un membre de la structure ou un prestataire externe, ce critère conditionne sa nomination.