Qu’est-ce qu’un DPO ?
Dans un monde toujours plus connecté et où la technologie prend de plus en plus le pas sur notre quotidien, il est important d’instaurer des mécanismes permettant la protection des données et la vie privée des personnes. C’est la raison pour laquelle les nouvelles dispositions relatives au RGPD (Règlement Général sur la Protection des Données – ou en Anglais, General Data Protection Regulation/GDPR) sont d’application depuis le 25 mai 2018. Ces nouvelles règles nous permettront d’évoluer plus sereinement dans un environnement axé vers l’IT.
Les conséquences d’une telle mise en place suggèrent que les entreprises/organisations doivent dorénavant faire appel à un Délégué à la Protection des Données (DPD – ou en Anglais Data Protection Officer/DPO). Il est important qu’une personne de l’organisation, ou bien un conseiller externe soit responsable du respect des principes de protection des données, ayant les connaissances, l’implication et la compétence de le faire.
Alors que la nomination d’un DPO n’est pas nécessairement obligatoire, celle-ci est vivement conseillée afin de permettre à votre entreprise/organisation de répondre aux besoins et au maintien de conformités au GDPR au fil des années. Toutes organisations remplissant l’un des critères suivants se doit de nommer un DPO :
- Le traitement des données est effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
- Les activités de base consistent en des opérations de traitement de données exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
- Ou en un traitement de données à grande échelle de catégories données visées aux articles 9 et 10 (Art 37).
i. Quel est le rôle d’un DPO ?
Dans un premier temps, le rôle principal du DPO est d’instaurer toutes les actions nécessaires afin de garantir la bonne mise en place du GDPR. Par après, il sera tenu de s’assurer et de remplir une série de tâches. Il accomplira les missions suivantes :
- Informer et conseiller l’organisation et ses employés sur leurs obligations à tenir afin de se conformer au GDPR ainsi qu’aux autres lois en vigueur relatives à la protection des données ;
- S’assurer que l’organisation soit conforme au GDPR ;
- Être disponible pour conseiller les entreprises dans leur évaluation d’impact[1] sur la protection des données ;
- Coopérer avec l’Autorité de Protection des Données (APD – Autorité de surveillance en Belgique) ;
- Être le premier point de contact avec l’APD.
ii. Comment évaluer un DPO ?
Le GDPR ne prévoit pas que le DPO possède de diplômes spécifiques. Cependant, ce dernier doit être désigné sur base de qualités professionnelles complètes et doit posséder une expertise particulière dans le domaine de la protection de données.
De nombreuses certifications peuvent être détenues par les DPO pour leur apporter la crédibilité nécessaire dans la réalisation des différentes missions qui leur est conférées. Parmi celles-ci, nous pouvons mentionner les certifications suivantes : CISSP, CISM, …
iii. Externaliser ou non son DPO ?
Deux possibilités s’offrent à vous pour désigner votre DPO :
- Soit, vous le nommer en interne ;
- Soit, vous faites appel à un consultant indépendant, externe à l’entreprise.
Il n’est pas toujours évident d’avoir à nommer une personne interne à l’entreprise. Outre le fait que cette dernière personne devra posséder des capacités techniques évidentes (ou la former le cas échéant), il sera primordial que le DPO ne doive pas réaliser plusieurs tâches au sein de la société. Cela pourrait très certainement générer des conflits d’intérêts et cette situation est donc à éviter comme le stipule l’art 38 du GDPR : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions ».
De manière générale, pour des raisons financières tant bien que logistiques, externaliser son DPO se résume à être la solution la plus optimale. Forte heureusement, de plus en plus d’entreprise proposent leurs services pour assurer le poste de DPO au sein de votre organisation (DPO as a service).
[1] Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.