Votre organisation a-t-elle l’obligation de désigner un délégué à la protection des données (DPD / DPO) ?
A titre liminaire, il convient de rappeler les principales caractéristiques du DPD en tant qu’acteur clé du système de gouvernance des données personnelles et de garant de l’application de la législation relative à la protection des données au sein de l’établissement qui l’a désigné.
Le DPD a ainsi pour mission :
- d’informer, de conseiller et d’accompagner son organisme dans le respect du règlement européen et du droit national en matière de protection des données personnelles ;
- de sensibiliser le personnel et la direction aux enjeux de la protection des données personnelles
- de superviser des audits internes ;
- de conseiller le responsable de traitement sur l'opportunité de mener une analyse d'impact sur la protection des données et d’en vérifier l'exécution, le cas échéant ;
- de coopérer avec la CNIL et être son point de contact dans l’organisme ;
- de recevoir et de répondre à toute question ou réclamation relative à la protection des données.
Le RGPD prévoit que les missions de DPD peuvent être exercées sous deux formes :
- DPD interne : le rôle de DPD est endossé par un collaborateur de votre organisation disposant de connaissances spécialisées en matière de protection des données. En sa qualité de responsable de traitement, le représentant légal de votre organisation ne peut être désigné DPD ;
- DPD externe : un spécialiste externe à votre organisation est désigné pour exercer les missions du DPD. L’action d’un DPD externe peut par ailleurs être mutualisée entre plusieurs établissements.
👉 Notre cabinet est en mesure de vous accompagner en tant que DPD externe, n’hésitez pas à nous contacter pour en savoir plus.
Indépendamment du choix retenu, trois conditions doivent être réunies :
1) le DPO doit détenir les compétences requises : ildevra disposer d'une expertise juridique et technique en matière de protection des données personnelles et d'une bonne connaissance du secteur d’activité concerné, de l'organisation interne de son établissement, en particulier s’agissant des opérations de traitements réalisées, et des besoins en matière de protection et de sécurité des données ;
2) le DPO doit disposer de moyens suffisants : il doit bénéficier du temps à la réalisation de ses missions et disposer de moyens matériels et humains adéquats. Surtout, le DPD doit pouvoir accéder à l’ensemble des informations utiles et être associé en amont des projets impliquant la manipulation de données personnelles ;
3) le DPO doit avoir la capacité d’agir en toute indépendance : il ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPD avec une autre fonction et ne doit pas recevoir d’instructions dans le cadre de l’exercice de ses missions de DPO.
Enfin, le DPD doit faire l’objet d’une désignation officielle auprès de la CNIL et doit être facilement joignable par le personnel de l’organisme qui l’a désigné ou par les personnes qui souhaitent exercer leurs droits.
Critères légaux de désignation
L’article 37 du Règlement général sur la protection des données (RGPD) prévoit trois situations dans lesquelles la désignation d’un DPD est obligatoire :
1) lorsque le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public ;
2) lorsque l’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
3) lorsque l’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophiques, religieuses, etc.) et de données relatives à des condamnations pénales ou des infractions.
Pour appréhender au mieux la portée de ces différents critères et des notions qu’ils contiennent, il convient de s’appuyer sur les lignes directrices du Comité européen de la protection des données (CEPD) du 13 décembre 2016 concernant les délégués à la protection des données.
Documenter votre choix
Le CEPD considère qu’une analyse interne doit être systématiquement menée pour déterminer si la désignation d’un délégué à la protection des données est obligatoire ou non.
En effet, si la réglementation prévoit bien les différents cas de figure où la désignation d’un DPD est obligatoire, leur interprétation n’en reste pas moins délicate si bien qu’une analyse détaillant la logique opérée est indispensable.
👉 Si vous souhaitez confier cette analyse à notre cabinet, n’hésitez pas à nous contacter.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
