Que fait un DPO ?
Le règlement général de l'UE sur la protection des données (RGPD) a accru la demande pour les DPO, mais toutes les organisations ne sont pas obligées d'en nommer un en vertu du règlement. Les organisations doivent déterminer si elles doivent en nommer un et, le cas échéant, à qui elles devraient confier cette responsabilité. Certaines exigences légales doivent être respectées, telles que la prévention des conflits d'intérêts, qui peuvent s'avérer difficiles.
Le rôle et les responsabilités du DPO
Les articles 37 à 39 du RGPD énoncent les exigences relatives au DPO : lorsqu’il faut nommer un (Article 37), la nature de leur poste dans l’organisation (Article 38) et les tâches qu’il doit accomplir (Article 39). Les infractions à ces articles engendrent des amendes jusqu'à de 2% de leur chiffre d'affaires global annuel. Il est donc évidemment important de respecter correctement les obligations.
Les tâches du DPO
Le DPO relève directement du «plus haut niveau de direction» de l'organisation et s'acquitte des tâches suivantes dans le cadre du RGPD :
- Informer et conseiller l'organisation et ses employés de leurs obligations en matière de protection des données.
- Contrôler la conformité de l'organisation avec le RGPD et les politiques et procédures internes de protection des données. Cela comprend le suivi de l’attribution des responsabilités, la formation à la sensibilisation et la formation du personnel impliqué dans les opérations de traitement et les audits connexes.
- Indiquer si une DPIA (évaluation de l'impact sur la protection des données) est nécessaire, comment en mener une et les résultats attendus.
- Servir de point de contact pour le BCI (ou une autre autorité de surveillance compétente) sur tous les problèmes de protection des données, y compris le signalement des violations de données.
- Servir de point de contact pour les personnes concernées par les questions de confidentialité, y compris les DSAR (demandes d'accès aux personnes concernées).
Quand doit-on nommer un DPO ?
En vertu du RGPD, la désignation d’un DPO est obligatoire dans trois cas :
- L'organisation est une autorité ou un organisme public.
- Les activités principales de l'organisation consistent en des opérations de traitement de données nécessitant un suivi régulier et systématique des personnes concernées à grande échelle.
- Les activités principales de l'organisation consistent en un traitement à grande échelle de catégories particulières de données (données sensibles telles que des informations personnelles sur la santé, la religion, la race ou l'orientation sexuelle) et / ou des données à caractère personnel relatives à des condamnations pénales et à des infractions.
Les PME (petites et moyennes entreprises) ne sont pas dispensées de l'obligation de nommer ce specialiste dpo rgpd si l'une ou l'ensemble de ces conditions leur sont applicables.
Le RGPD permet aux États membres de spécifier d'autres circonstances dans lesquelles un DPO doit être nommé. Même lorsque le RGPD n’impose pas expressément la désignation d’un délégué à la protection des données, le comité européen de la protection des données (EDPB) l’encourage vivement.