Vous êtes ici :

RGPD : c’est qui le pilote ?

ordinateur données

Nous avons précédemment évoqué les six étapes à suivre pour se conformer au RGPD (RGPD : tout savoir pour se mettre en conformité). Peut-être n’avez-vous pas encore totalement résolu la première : quelle personne choisir pour piloter cette mise en conformité ?? Devez-vous faire appel à un DPO extérieur ? Voici quelques éléments de réponse…

 

Quels sont les cas où ce pilote doit impérativement être un DPO ?

Il y a trois cas où le recours à un DPO (Data Protection Officer), ou Délégué à la Protection des Données, est aujourd’hui rendu obligatoire par la CNIL (autorité de contrôle et de sanction) :

  1. lorsque le traitement est effectué par un organisme public ;
  2. lorsque les activités de base de l’organisme consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
  3. lorsque les activités de base de l’organisme consistent en un traitement à grande échelle des données dite « sensibles » (de santé, biométriques, politiques, religieuses…) et de données à caractère personnel (condamnations, infractions…)

 

Qui sont ces DPO et doivent-ils être certifiés ?

Le RGPD donne à la CNIL une nouvelle compétence pour désormais adopter des référentiels de certification, et agréer les organismes chargés de délivrer cette certification. La CNIL précise que la certification n’est pas obligatoire pour exercer les fonctions de DPO. Il constitue cependant un vecteur de confiance, tant pour l’organisme faisant appel à eux que pour ses clients, fournisseurs, salariés, fidèles, donateurs…
Pour être certifié, un DPO doit :

  •       justifier d’une expérience professionnelle d’au moins 2 ans dans des activités en lien avec les missions du DPO, ou justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles 
  •       répondre aux 17 compétences du référentiel élaboré par la CNIL

Pour résumer, ces DPO ont des profils bien particuliers, devant à la fois faire preuve de compétences informatiques comme juridiques.

 

Reconnaître les démarchages abusifs de « faux » DPO !

À l’image du bug de l’an 2000, où tant d’offres douteuses et onéreuses se multipliaient, les propositions de DPO prennent aujourd’hui le relais avec des messages parfois inquiétants reçus par mail, voire encore par fax…
La CNIL recommande de :

  •       vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD
  •       vérifier la nature des services proposés : la mise en conformité au RGPD ne peut en aucun cas être une simple solution clef en main. Elle suppose un vrai accompagnement pour identifier les actions à mettre en place et assurer leur suivi dans le temps

En France, la demande actuelle en DPO serait de 80 000. À ce jour, seuls 13 000 auraient été recensés et certains seraient loin de répondre aux exigences de la CNIL. La vigilance est donc à conseiller…

 

Puis-je nommer un DPO en interne ?

Plusieurs principes sont posés par le RGPD pour nommer un DPO en interne :

  • l’octroi des ressources nécessaires pour exercer ses missions ;
  • l’indépendance et l’absence d’instructions en ce qui concerne l’exercice de ses missions ;
  • l’impossibilité d’être relevé de ses fonctions ou pénalisé par le responsable du traitement ;
  • la nécessaire absence de conflit d’intérêt en cas d’exercice d’autres missions et tâches au sein de la structure.

Le DPO relèverait ainsi d’un statut spécifique, étant proche de la direction mais ne devant pas présenter de conflit d’intérêt. Il peut être potentiellement salarié de la structure tout en étant indépendant et « intouchable » pour les missions relevant de son statut de DPO.
Le DPO, en étant désigné en interne, constituerait alors une sorte de salarié autonomeÀ vous de voir !
En conclusion, la mutualisation d’un DPO certifié au sein de plusieurs structures serait probablement la configuration la plus recommandable…