Depuis l’entrée en vigueur du RGPD, la désignation d’un DPO est encouragée pour toutes les entités traitant des données à caractère personnel. La nomination d’un DPO est même obligatoire pour les organismes qui remplissent les critères fixés à l’article 37 du RGPD.
Véritable orchestrateur de la conformité, celui-ci a pour mission de piloter les mesures RGPD mises en place au sein de l’organisme. Mais comment cette responsabilité se décline-t-elle ? Quelles obligations le DPO doit-il remplir ? Réponses !
Le DPO, point névralgique de la conformité
Le DPO s’apparente à un acteur clé pour toutes les organisations traitant des données à caractère personnel au niveau européen. Ce responsable de la conformité RGPD a en effet pour mission de superviser la création, la publication et la mise en œuvre de procédures relatives à la protection des données au sein d’une entité.
Bon à savoir : bien qu’il soit le référent principal en matière de conformité, le DPO n’assume pas de responsabilité personnelle en cas de non-respect des obligations du RGPD – c’est uniquement l’organisation concernée qui pourra être sanctionnée.
Néanmoins, le délégué à la protection des données doit répondre à certaines obligations pour que la conformité de l’organisme soit assurée…
Quelles sont les obligations RGPD du DPO ?
Réglementée par les articles 37 à 39 du RGPD, la fonction du DPO a pour objectif de piloter la mise en œuvre de la conformité à l’échelle de l’organisme. Pour cela, les missions du délégué à la protection des données se déclinent en plusieurs axes.
Assurer la documentation du traitement des données
La documentation joue un rôle central dans le cadre des obligations édictées par le RGPD. Elle permet aux organismes de prouver leur conformité auprès de l’autorité de contrôle, et donc, de répondre au principe d’accountability. Et si cette tâche incombe au responsable de traitement et aux sous-traitants, c’est au DPO de s’assurer de la tenue de cette documentation et de sa mise à jour – notamment celle du registre de traitement.
Lire aussi : Registre de traitement : que doit-il contenir ?
Informer et conseiller l’organisme
Le DPO est tenu d’accompagner l’organisme, notamment la direction, sur la marche à suivre en matière de conformité.
Dans cette optique, il est conseillé au délégué à la protection des données de guider :
- La création ou l’évolution d’un traitement existant : pour garantir notamment que les principes de protection des données soient respectés dès le stade de la conception ;
- La réalisation des analyses d’impact, nécessaires pour la protection des données ;
- La rédaction et l’actualisation du règlement interne en matière de protection des données ;
- La marche à suivre en cas de violation de données personnelles.
Le DPO doit également s’assurer que les membres de l’organisme soient bien sensibilisés et formés en matière de protection des données. Ainsi, s’il n’est pas tenu de conduire les formations ou les ateliers de sensibilisation, il peut néanmoins aider les acteurs de l’organisme à monter en compétences.
Bon à savoir : le DPO fait office d’interlocuteur référent pour les questions relatives à la protection des données personnelles dans l’organisme.
Communiquer avec la CNIL
En tant que référent en matière de protection des données, le DPO est amené à coopérer avec la CNIL et faciliter les échanges avec l’instance. Dans cette optique, il est par exemple tenu de répondre aux demandes de la CNIL lors d’un contrôle sur place. Afin d’aider le responsable de traitement à répondre à ses propres obligations, le DPO peut également être amené à consulter la CNIL dans le cadre d’une AIPD, ou encore, notifier une violation de données dans l’organisme.
Lire aussi : Violation de données à caractère personnel : comment réagir ?
Contrôler régulièrement la conformité de l’organisation
Enfin, le DPO est tenu de vérifier que l’organisme respecte bien ses obligations RGPD. Pour réaliser cette tâche, le délégué à la protection des données doit planifier des vérifications sous la forme d’audits (réalisés en interne ou en externe) et collaborer avec le RSSI (Responsable de la Sécurité des Systèmes d’Information). Par la suite, ces vérifications lui permettent de mettre en œuvre des mesures correctives.
En fonction des priorités, ces contrôles peuvent cibler :
- Le registre de traitement : inventaire des activités, personnes concernées, nature des données traitées, transferts hors union européenne… Toutes les informations contenues doivent être soigneusement vérifiées.
- Les traitements sensibles, avec la prise en compte des analyses d’impact effectuées.
- Les mesures techniques et organisationnelles de protection des données mises en œuvre par l’entité.
Vous l’aurez compris, le DPO a finalement peu d’obligations formelles à remplir. Néanmoins, son rôle de référent en matière de protection des données implique qu’il supervise l’organisme, qu’il soit responsable de traitement, sous-traitant, ou co-traitant, et l’ensemble de ses acteurs dans toutes les actions relatives à la mise conformité.
Quelles solutions pour les DPO qui ne parviennent pas à répondre à leurs obligations RGPD ?
Face à cette responsabilité, il peut être difficile pour un DPO peu expérimenté de remplir pleinement son rôle. Heureusement, il existe des solutions pour aider les organismes à pallier cette difficulté. Chaque entité a ainsi la possibilité de :
- Proposer une assistance au DPO : de par les missions qui lui sont confiées, le délégué à la protection des données doit cumuler des compétences juridiques, techniques et organisationnelles – ce qui est rare sans formation appropriée. Une assistance personnalisée au DPO permet d’accompagner celui-ci dans les tâches qui s’éloignent de ses domaines d’expertise.
- Externaliser la fonction du DPO : cette solution permet aux organismes – même ceux qui ne disposent pas de ressource humaine qualifiée en interne – de s’assurer un haut niveau de conformité. Ici, toutes les missions du DPO sont réalisées par des professionnels de la conformité, sans la moindre charge mentale pour l’entité.
Spécialiste dans la protection des données à caractère personnel, dposystem by Netsystem aide les organismes à assurer leur conformité, notamment à garantir que le DPO remplisse bien ses obligations. Assistance au DPO ou DPO externalisé, notre équipe vous apporte un soutien personnalisé en fonction de vos besoins et de vos connaissances RGPD.
Contactez-nous pour en savoir plus sur nos offres !