Bien que les entreprises soient de plus en plus conscientes de la nécessité de se conformer à la législation sur la protection des données, beaucoup ne savent toujours pas qui désigner comme délégué à la protection des données (DPO). Cet article explique ce qu’est un délégué à la protection des données (DPO), quelles sont les tâches d’un DPO et qui devrait désigner un DPO. De cette manière, les entreprises peuvent s’assurer qu’elles prennent les mesures adéquates pour protéger leurs données et se conformer au RGPD (Règlement Général sur la Protection des Données).
Qu’est-ce qu’un délégué à la protection des données (DPO) ?
Les DPO sont chargés de veiller à ce que les données à caractère personnel des employés, des clients, des sous-traitants ou d’autres personnes soient traitées conformément au RGPD et aux lois nationales sur la protection des données. Ils sont chargés de veiller à ce que toutes les procédures et tous les contrôles nécessaires soient en place pour protéger la vie privée de toutes les personnes concernées par le traitement des données de l’organisation.
Les DPO doivent être indépendants. Le RGPD protège leur autonomie. En particulier, personne ne peut donner d’instructions au DPO sur la manière dont il doit s’acquitter de ses tâches. Il ne peut pas être licencié ou sanctionné pour ses efforts. De même, les employeurs doivent fournir des informations complètes sur les pratiques de l’entreprise en matière de protection des données.
Si une entreprise décide d’effectuer une opération contre l’avis de son DPO, les raisons de cette décision doivent être documentées. Cette documentation peut contribuer à prouver la conformité au lors d’enquêtes menées par les autorités de contrôle. Vous pouvez solliciter un expert DPO pour ce faire.
Est-il nécessaire de désigner un DPO ?
La désignation d’un DPO n’est pas obligatoire pour toutes les entreprises. Certaines sont obligées de désigner un tel délégué, tandis que d’autres le font volontairement, à titre de bonne pratique.
Vous devriez désigner un DPO si :
– vous répondez aux exigences légales du RGPD pour la désignation d’un DPO.
– vous êtes une autorité publique (à l’exception des tribunaux dans leur capacité juridictionnelle)
– votre activité principale implique des traitements qui nécessitent un suivi régulier et systématique des personnes à grande échelle. C’est aussi le cas si vous traitez à grande échelle des données de catégories particulières ou des données relatives à des condamnations pénales et à des infractions.
Si vous remplissez au moins l’un de ces critères, vous devez avoir un DPO. Vous n’êtes pas tenu d’en avoir un si vous ne remplissez pas les conditions requises. Toutefois, il est généralement de bonne pratique d’en avoir un.
Si vous décidez que vous n’avez pas besoin de désigner un DPO, vous devez documenter votre décision. Vous devez conserver des documents écrits décrivant brièvement vos activités de traitement et les raisons pour lesquelles elles ne nécessitent pas la désignation d’un DPO.
Qui peut être DPO ?
Le DPO peut être toute personne disposant des connaissances suffisantes pour remplir les fonctions afférentes à ce poste. Il peut s’agir d’un employé de l’entreprise ou d’une personne recrutée en dehors de l’entreprise.
Dans la plupart des cas, le travail du DPO n’est pas à temps plein. Certaines entreprises décident de former une partie de leur personnel et d’engager quelqu’un pour cette tâche. D’autres trouvent plus pratique de faire appel à une société de conseil en matière de protection des données.
Toutefois, lorsque vous choisissez une option, n’oubliez pas que le rôle du DPO doit être indépendant des activités de traitement. Ce n’est peut-être pas une bonne idée de confier cette tâche à votre responsable marketing, car il ou elle prendra de nombreuses décisions de traitement. Tout dépend de vous et de ce qui convient le mieux à votre situation.