
Depuis la mise en place du RGPD, désigner un DPO est très largement préconisé pour assurer la conformité RGPD de son entreprise ou de son organisation. Dans certains cas, nommer un DPO est une obligation.
Un DPO, qu’est-ce que c’est ?
DPO est l’acronyme de “Data Protection Officer”, également appelé Délégué de la protection des données (DPD) en français. En d’autres termes, le DPO est la personne chargée de la protection des données à caractère personnel d’une entreprise ou d’une organisation.
La personne désignée comme DPO devra se rendre disponible pour plusieurs missions :
- Sensibiliser les membres de l’organisation sur la protection des données à caractère personnel
- Accompagner l’entreprise dans sa mise en conformité RGPD
- S’assurer que les données soient sécurisées
- Assurer un point de contact avec la CNIL (Commission nationale de l’informatique et des libertés)
Toutes les organisations sont différentes (localisation, secteur d’activité, nombre de salariés, nombre de clients, etc.). Du coup, est-il obligatoire de désigner un DPO pour toutes les entreprises ?
Désigner un DPO est-il obligatoire ?
DPO obligatoire : quelles situations pour les entreprises ?
Nommer un DPO est obligatoire dans certaines situations, selon l’article 37 du RGPD :
- Pour les autorités et les organismes publics
- Les organismes traitant des données personnelles à grande échelle (opérateurs téléphoniques, banques, compagnies d’assurance, etc.)
- Les organismes traitant en grande quantité des données dites sensibles. Les données sensibles sont par exemple des données génétiques, liées à la santé, les origines raciales ou ethniques, les opinions politiques, etc.
Pour ces 3 situations, la désignation d’un DPO est donc obligatoire. Cependant la CNIL encourage fortement les entreprises et organisations qui ne se trouvent pas dans ces cas à nommer un DPO.
Comment s’assurer que mon entreprise doit nommer un DPO obligatoire ?
Maintenant que vous connaissez les cas où la désignation d’un DPO est obligatoire, il faut déterminer si votre entreprise ou organisation est concernée.
Pour cela, il est essentiel de faire un état des lieux des données personnelles récoltées en se posant certaines questions :
- De quel type sont ses données personnelles ? Sont-elles dites sensibles ?
- La récolte de ses données à caractère personnel se fait-elle à grande échelle ?
- Votre organisme est-il public ou privé ?
Les différentes solutions pour désigner un DPO
Que vous ayez l’obligation de désigner un DPO ou que cela soit une initiative de votre entreprise, différentes options s’offrent à vous pour nommer un DPO.
Nommer un DPO interne
Il est possible de désigner un membre de l’entreprise comme DPO. La personne choisie devra être formée et se rendre disponible pour mener à bien ses missions. Être DPO demande une réelle implication et du temps.
Un DPO en interne aura l’avantage d’être directement en immersion dans l’entreprise. Il connaît les processus actuels et aura une meilleure réactivité.
Faire appel à un DPO externe
Choisir un DPO externe c’est faire appel à un prestataire pour sa mise en conformité RGPD.
Le prestataire aura une certaine expérience professionnelle, ce qui lui permettra d’accompagner et de conseiller du mieux possible l’entreprise concernée.
De plus, il aura du recule sur la gestion actuelle des données dans l’organisation. Sa vision sera impartiale, afin de faire les meilleurs choix.