DPO : Délégué à la Protection des Données
Le DPO est-il obligatoire ?
Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire : D’un côté, les organismes et les entreprises publiques, et de l’autre les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.
Plus exactement, selon l’article 37 du RGPD, il est nécessaire de disposer d’un DPO dans les cas suivants :
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Pour savoir si vous êtes concernés par l’un de cas, il faut se poser les bonnes questions :
Tout d’abord, le traitement des données personnelles fait-il de l’activité de base de votre structure ?
Par la nature même de votre activité, il faut entendre les produits ou services que vous délivrez. il ne s’agit donc pas des fonctions support de l’entreprise, telles que la gestion de la paie par exemple.
Ce traitement est-il réalisé à grande échelle ?
Il n’est pas évident de définir à partir de quel volume de données on peut parler de grande échelle. De plus, il ne s’agit pas que de volume mais également de durée ou d’étendue géographique. Cependant il est possible de deviner que des structures tels que des fournisseurs d’accès ou des moteurs de recherche sont indubitablement concernés. Pour ce qui est des PME ou des petites structures, cela devient beaucoup moins évident, à déterminer au cas par cas.
Ce traitement implique-t-il un suivi régulier et systématique ?
La notion de régularité est une notion simple, qui implique une fréquence du phénomène, et qui est facile à mesure. Par contre il est beaucoup moins évident de se prononcer sur le concept de “suivi systématique”. On peut considérer qu’il s’agit d’un suivi effectué via un système (informatique par exemple) ou une méthode spécifique.
Pas concerné ? Le RGPD s’applique tout de même
En effet, dans tous les cas, il faut penser à faire vivre son projet RGPD et notamment :
- cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements, et le tenir à jour,
- au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
- travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
- documenter toutes ces actions de façon à être à même de prouver aux organismes régulateur que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement,
- Instruire et tracer toutes les demandes de modifications, suppressions, des propriétaires des données,
- Analyser les intrusions dans les données personnelles et contacter la CNIL / les personnes concernées.
- Coopérer avec l’organisme de contrôle si nécessaire
Source : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees