Le Délégué à la Protection des Données (DPD) ou encore le Data Protection Officer en anglais (DPO), est l’une des pièces maîtresse de la mise en conformité au Règlement Européen sur la Protection des Données (RGPD).
Le RGPD, qu’est-ce que c’est ?
Entré en vigueur le 25 mai 2018, le RGPD réglemente le traitement des données personnelles sur le territoire européen. Tout organisme public ou privé, quelle que soit sa taille, traitant des données à caractère personnel domiciliées en Europe ou dont l’activité cible directement des résidents européens, doit respecter le RGPD.
Le RGPD définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne physique peut être identifiée directement par un nom, et/ou un prénom ou indirectement avec un identifiant (n° client), un numéro de téléphone.
Le DPO est-il obligatoire ?
Le RGPD impose la nomination d’un DPO pour :
– Les autorités et organismes publics ;
– Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (par exemple, les compagnies d’assurance ou les banques pour leurs fichiers clients ;
– Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (par exemple les données relatives à la vie sexuelle, l’origine raciale ou ethnique, ou encore les données relatives à des condamnations pénales et infractions).
En dehors des cas précédemment cités le DPO n’est pas obligatoire. Toutefois, il est fortement recommandé pour tous les organismes soucieux d’établir une vraie stratégie de mise en conformité au RGPD.
Quel est le rôle du DPO ?
Au sein d’une organisation, le DPO sera donc chargé de veiller à ce que le traitement des données personnelles se fasse en conformité avec le règlement européen.
Le DPO sera donc amené à :
– Informer et conseiller les employés sur la protection des données personnelles ;
– Contrôler le respect du RGPD en vérifiant que les traitements de données ne sont pas illégaux et que les droits des personnes sont bien respectés ;
– Assurer une coopération avec l’autorité de contrôle locale ;
– Établir une cartographie des traitements effectués par l’organisme ;
– Tenir à jour un registre de traitement des données ;
– Organiser la politique de protection des données de l’organisme ;
– Documenter et faire régulièrement un état des lieux de la conformité de l’organisme.
Le DPO assure la vieille technique et juridique en termes de gestion des données. Il est le garant du respect des normes en vigueur. Dans un espace de plus en plus numérisé, c’est un poste essentiel. Le DPO peut être un salarié de l’organisme, mais pour des raisons qui lui sont propres, l’organisme peut également décider d’externaliser la fonction de DPO en faisant appel à un prestataire externe.
Les compétences pour exercer la profession de DPO ?
Des compétences juridiques
Le DPO doit avoir une bonne connaissance du droit européen en vigueur en matière de protection des données personnelles, mais également une bonne connaissance des différentes lois nationales relatives à la protection des données personnelles. Pour garder un tel niveau de compétences, il devra effectuer une veille juridique sur le sujet.
Des compétences techniques
En plus de ses connaissances juridiques, le DPO devra aussi avoir des connaissances en sécurité ainsi qu’en système d’information. La maîtrise de ces compétences lui permettra de comprendre les enjeux techniques que soulève la protection des données, mais aussi de discuter et collaborer avec les équipes techniques pour réaliser des projets conforme au RGPD.
Marine Kouadio,
Juriste-codeuse à Eurafrique.Legal
Le profil d’un DPO ?
- Une formation en informatique
- Une formation juridique
- Des connaissances solides en cybersécurité
- De fortes connaissances du droit des données national et international
- Faire preuve de pédagogie
- Savoir manager une équipe