Données personnelles - RGPD

DPO RGPD : comment choisir son DPO ?

Le délégué à la protection des données personnelles, DPO RGPD, est un acteur central de votre conformité RGPD. Sa désignation est parfois obligatoire. Retrouvez les conseils de notre cabinet d’avocats en droit de nouvelles technologies pour bien choisir votre DPO RGPD.

1. DPO et RGPD

Le Règlement général à la protection des données fait du DPO RGPD (ou DPO GDPR pour General Data Protection Regulation) l’acteur central de votre conformité. Selon la Cnil, il est en effet le chef d’orchestre de toutes les mesures concernant la protection des données personnelles.

Dans les cas où la collecte et le traitement des données entraîne un risque élevé pour les personnes, sa désignation est obligatoire. Cependant, même dans les autres cas, la Cnil recommande fortement de faire appel à un DPO RGPD. En effet, il exerce de nombreuses fonctions cruciales concernant la protection des données personnelles.

 

2. RGPD et DPO : quelles sont les missions du DPO ?

Le DPO RGPD exerce de nombreuses fonctions au sein de votre entreprise :

  • Le DPO RGPD exerce une mission d’information et de conseil à propos de tous les domaines de protection des données personnelles. Il doit sensibiliser tous les membres de votre organisme à ce sujet.
  • Il doit veiller à votre conformité RGPD. Le DPO RGPD prend part à toutes les mesures d’ampleur, par exemple une analyse d’impact. C’est lui qui met en œuvre les changements internes nécessaires.
  • Il est l’interface entre vous et la Cnil. Il doit collaborer avec elle et lui fournir les informations demandées. En effet, l’obligation d’information préalable auprès de la Cnil n’existe plus. En revanche, il faut aujourd’hui documenter les preuves de votre conformité RGPD et les fournir à la Cnil en cas de contrôle.

D’une manière générale, le DPO GDPR prend part à toutes les questions relatives à la protection des données personnelles.

 

3. Obligation DPO RGPD : dans quels cas ?

Dans certains, la désignation d’un RGPD DPO est obligatoire. Il existe quatre hypothèses :

  • Vous êtes un organisme public ou une autorité publique.
  • Votre activité de base consiste en un suivi systématique et régulier des personnes à grande échelle. Vous entrez dans cette catégorie si vous exercez une activité de surveillance pour des grandes enseignes par exemple.
  • Les données collectées ou traitées sont relatives à des condamnations pénales ou à des infractions.
  • Il y a une collecte ou un traitement de données sensibles. Ces données concernent notamment l’état de santé des personnes, leurs convictions religieuses, leur appartenance syndicale, leur orientation sexuelle…

L’irrespect de cette obligation DPO RGPD entraîne à elle seule des sanctions, notamment financières (jusqu’à 10 millions d’euros).

 

4. GDPR DPO : désignation facultative… mais conseillée !

Dans tous les cas, la désignation d’un DPO RGPD est fortement recommandée. 

En effet, le RGPD impose de nouvelles obligations aux entreprises et de nombreux changements internes doivent être effectués. La conformité RGPD donc nécessite des connaissances spécifiques d’un point de vue juridique mais aussi d’un point de vue technique. Ainsi la désignation volontaire d’un DPO GDPR vous assure d’effectuer votre mise en conformité correctement. Le risque de sanctions de la part de la Cnil est donc diminué.

En outre, la désignation volontaire d’un DPO RGPD vous donne un avantage concurrentiel. En effet, la mise en application du RGPD a montré que les personnes sont de plus en plus sensibles à la protection de leurs données personnelles. Communiquer sur une désignation volontaire d’un DPO RGPD permettra ainsi de montrer à ces personnes que vous êtes soucieux de la protection de leurs données. Vous faire accompagner par un cabinet d’avocats peut être très positif pour l’image de votre entreprise. 

 

5. Comment choisir son DPO RGPD ?

C’est vous qui êtes responsable en cas de manquement au RGPD. Les sanctions peuvent être très lourdes (jusque 20 millions d’euros d’amende). Il est donc primordial de bien choisir son DPO RGPD.

Vous devez donc veiller à certains points :

  • En premier lieu, votre GDPR DPO doit avoir les connaissances suffisantes. Il faut donc choisir un expert en droit de la protection des données personnelles.
  • Il faut aussi que votre DPO RGPD connaisse bien votre secteur d’activité. En effet, il faut qu’il puisse s’adapter aux spécificités de votre entreprise en termes de protection des données personnelles. Certains secteurs d’activité entrainent en effet des mesures spécifiques, par exemple le secteur médical.
  • Le DPO GDPR doit aussi être disponible. Il doit en effet répondre aux interrogations de toutes les personnes concernées par les traitements de données. Il faut donc qu’il soit joignable rapidement et facilement. De plus, il doit être capable de s’exprimer de façon claire et précise pour répondre aux préoccupations des individus.
  • Par ailleurs, le GDPR DPO doit exercer ses missions en toute indépendance. Il ne doit pas recevoir d’instructions quant à l’exercice de ses fonctions. De plus, il ne doit pas se trouver dans une situation de conflit d’intérêt. A ce titre, nous conseillons de faire appel à un DPO RGPD externe, par exemple un avocat.
  • Enfin, le DPO RGPD doit être particulièrement réactif. En effet, il doit être capable d’agir en cas d’urgence. Par exemple, en cas de fuite de données il doit prendre toutes les mesures nécessaires en moins de 72 heures.

Deshoulières Avocats remplit toutes ces conditions pour être nommé DPO. Nous pouvons vous accompagner afin de réaliser votre mise en conformité au RGPD.

Deshoulières Avocats, cabinet en droit des nouvelles technologies, intervient auprès de nombreux clients en tant que DPO RGPD externe. Bénéficiez d’une expertise reconnue pour votre mise en conformité.

Bouton Devis final

REFERENCES :