Le délégué à la protection des données (DPD ou DPO) est un acteur majeur de votre conformité RGPD. Certains organismes doivent désigner un délégué à la protection des données. Quels sont ces organismes ? Comment choisir votre délégué à la protection des données. Retrouvez les conseils de notre cabinet d’avocats en droit des nouvelles technologies.
1. Est-ce que votre entreprise est concernée par le RGPD ?
Le RGPD concerne tous les organismes dès lors qu’il existe un traitement de données personnelles concernant des résidents de l’Union européenne.
- Une donnée personnelle peut se définir comme toute information qui concerne une personne. Il peut s’agir par exemple de ses nom et prénom, de son identifiant, etc. Certaines données sont considérées par nature comme sensibles et font l’objet d’une protection accrue. Il s’agit notamment des informations sur la religion ou l’état de santé d’une personne.
- Tous les organismes sont soumis au RGPD, sans condition de taille ou de secteur d’activité, dès lors que le traitement de données concerne des personnes qui résident au sein de l’UE. C’est donc le cas même lorsque l’entreprise n’est pas établie sur le territoire de l’UE, mais qu’elle vise ses ressortissants.
Le RGPD créé de nouvelles obligations à la charge des organismes concernés. Vous avez dans certaines situations l’obligation de désigner un délégué à la protection des données personnelles. Par ailleurs, nous vous recommandons de désigner un délégué RGPD même lorsque vous n’êtes pas soumis à cette obligation.
2. RGPD : délégué à la protection des données désigné obligatoirement
Si votre entreprise est concernée par le RGPD, vous avez l’obligation de nommer un délégué à la protection des données personnelles dans quatre cas :
- Si vous êtes une autorité publique ou un organisme public.
- Lorsque les données traitées sont des données sensibles. Ce sont les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophique, les données qui renseignement sur l’état de santé ou l’orientation sexuelle, …
- Lorsque les données traitées sont relatives à des condamnations pénales ou des infractions.
- Enfin, lorsque les activités de bases consistent en un suivi régulier et systématique des personnes à grande échelle. Il est possible de s’interroger sur ce critère. Selon notre expertise, la désignation d’un délégué RGPD est ainsi obligatoire lorsqu’un organisme a pour activité principale un traitement de donné qui suit des personnes plusieurs fois ou de manière continue.
3. RGPD : délégué à la protection des données désigné volontairement
Dans tous les autres cas que ceux précités, la désignation d’un délégué à la protection des données n’est pas obligatoire. Elle reste cependant très fortement conseillée, notamment par la Cnil.
- En effet, l’aide d’un délégué à la protection des données RGPD vous assure de votre conformité en matière de protection des données personnelles.
- Cela permet aussi de démontrer votre bonne foi à la Cnil.
- En outre, la désignation volontaire d’un délégué à la protection des données est aussi un véritable argument concurrentiel.
Si vous n’avez pas besoin des services d’un délégué RGPD à plein temps, il est possible de désigner un délégué à la protection des données pour plusieurs organismes. Deshoulières avocat peut être votre DPO externe et se charger de votre mise en conformité grâce à une méthodologie en 20 étapes.
4. Pourquoi est-ce que le délégué à la protection des données est important ?
Le délégué à la protection des données est le chef d’orchestre de votre mise en conformité RGPD. Il vous accompagne à chaque étape.
- Le délégué protection des données vous délivre les renseignements nécessaires sur tous les points qui concernent la protection des données. Il doit sensibiliser les membres de votre organisme à la protection des données.
- Le délégué RGPD s’assure aussi du respect des dispositions du RGPD, lors de la conception des traitements de données puis tout au long de leurs vies. Il doit vous accompagner à chaque étape : gestion des risques, analyses d’impacts, …
- Enfin, le délégué à la protection des données RGPD coopère avec la Cnil.
Le délégué à la protection des données personnelle possède donc un rôle majeur et indispensable dans votre mise en conformité RGPD. Il est donc très important de bien le choisir. Deshoulières Avocats vous assiste dans votre choix de délégué RGPD.
5. Quelles sont les qualités du délégué à la protection des données ?
Il faut impérativement choisir un délégué a la protection des données qui soit expert dans son domaine. Il doit disposer de connaissances précises tant juridiques que techniques. En outre, il doit mettre à jour ses connaissances régulièrement.
Ce n’est pas le seul critère à prendre en compte. Il faut aussi :
- Que le délégué à la protection des données RGPD connaisse bien votre secteur d’activité et la structure de votre organisation. Les problématiques en matière de protection des données ne sont en effet pas les mêmes dans une petite association que dans une entreprise de plusieurs centaines de salariés. Le délégué à la protection des données personnelles doit aussi s’adapter au degré de sensibilité des données et à l’échelle du traitement.
- Que votre délégué à la protection des données RGPD soit réactif. Il doit être répondre rapidement à toute personne concernée (salarié, client, …). Il doit aussi pouvoir réagir très vite en cas de problème.
Selon la taille de votre entreprise, vous pouvez mettre en place une équipe dédiée à la protection des données personnelles. Il y aura un délégué protection des données et son personnel. Deshoulières Avocats vous assiste à chaque étape de votre mise en conformité et vous conseille le mode de désignation le plus adapté à votre situation.
6. Quelles sont les pratiques à mettre en place suite à la désignation du délégué à la protection des données ?
La désignation d’un délégué à la protection des données est une étape incontournable, mais insuffisante. Vous devez impérativement prendre des mesures supplémentaires afin que votre délégué RGPD puisse exercer ses fonctions dans les meilleures conditions.
- Le délégué protection des données doit être mêlé le plus tôt possible à tout ce qui concerne la protection des données personnelles. C’est ce qui va vous permettre de vous mettre en conformité RGPD dès la conception du traitement. Cela implique de donner accès au délégué RGPD à toute information utile, de le convier aux réunions, …
- Il faut accorder à son délégué RGPD les moyens matériels et humains dont il a besoin. Cela comprend les moyens financiers, mais aussi le soutien effectif de la direction. Par ailleurs, il faut prendre en compte le temps dont il a besoin pour exercer ses missions.
- Le délégué à la protection des données doit exercer ses missions en toute indépendance. Cela signifie notamment qu’il ne doit pas recevoir d’instruction quant à l’exercice de ses missions. Il ne doit pas non plus être en situation de conflit d‘intérêt. Pour cette raison, il est conseillé de faire appel à un délégué RGPD externe à l’organisme, comme par exemple un avocat.
- Le délégué à la protection des données personnelles doit aussi pouvoir rendre compte de son action aux plus hauts niveaux de direction. C’est particulièrement le cas lorsqu’il existe un désaccord. Vous devez consigner ses observations.
Malgré ses nombreuses responsabilités, le délégué protection des données n’est pas responsables aux yeux de la Cnil. C’est vous qui êtes responsable en cas d’irrespect au RGPD. Il est donc d’autant plus important de bien choisir son délégué RGPD et de lui donner les moyens d’accomplir efficacement ses missions. Cela devrait ainsi permettre de ne pas mettre en jeu votre responsabilité.
Deshoulières Avocats, cabinet expert en droit des nouvelles technologies, vous accompagne à chaque étape de votre mise en conformité RGPD. Nous vous assistons notamment pour bien choisir votre délégué à la protection des données.
REFERENCES :
- Délégué à la protection des données : texte officiel du RGPD
