Le , par Harmonie Peynot - RGPD
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, vous avez sûrement déjà entendu parler du rôle de Délégué à la Protection des Données (DPO ou DPD), non ? (Re)Faisons les présentations !
Une désignation obligatoire ou fortement conseillée
Le RGPD impose la désignation d’un DPO :
- aux organismes publics, comme le démontre l’actualité en 2022 avec la mise en demeure de 22 communes par la Commission Nationale de l’Informatique et des Libertés (CNIL) pour absence de désignation de DPO,
- aux organismes réalisant un suivi régulier et systématique de personnes à grande échelle,
- aux organismes traitant des données sensibles à grande échelle ou relatives à des condamnations pénales et des infractions.
Chaque organisme privé ou public doit donc réaliser une analyse (et la documenter bien sûr) afin de définir s’il relève de l’obligation de désignation d’un DPO.
Mais quoi qu’il en soit, gardez en mémoire que la désignation reste très fortement conseillée par la CNIL. Notamment parce que les différentes autres obligations (la tenue d’un registre des traitements de données par exemple) concernent, elles, tous les organismes !
En interne ou en externe
Le DPO peut être désigné en interne à l’organisme ou via un prestataire externe.
Dans tous les cas, il est indispensable de veiller à ce qu’il dispose :
- des compétences et connaissances nécessaires,
- de moyens suffisants (temps, budget, ressources humaines, positionnement hiérarchique,…),
- de toute son indépendance.
La notion d’indépendance (ou d’absence de conflit d’intérêt) est tout particulièrement importante dans le cas d’un dpo interne qui pourrait être chargé d’autres missions dans l’organisme. Une même personne ne peut pas définir/réaliser un traitement puis être amenée à le contrôler en tant que DPO.
Par exemple, un directeur général ou un directeur des systèmes d’informations ne pourra pas être désigné comme DPO.
Des missions variées
Le DPO est un chef d’orchestre chargé de mener la démarche de protection des données. Pour cela, il a pour missions principales de :
- Conseiller et accompagner l’organisme,
- Contrôler la conformité aux obligations réglementaires,
- Créer et actualiser la documentation liée à la protection des données,
- Sensibiliser le responsable de traitement,
- Être le point de contact de la CNIL.
Il s’agit donc d’un rôle fondateur et moteur pour toute démarche de conformité en matière de protection des données personnelles.
Sans parler de l’aspect rassurant d’avoir une personne spécialisée à portée de main (ou de clavier !) pour répondre (de manière compréhensible) aux doutes et interrogations que tout cela peut soulever.
Pour en savoir plus, la CNIL a d’ailleurs mis à disposition un guide sur le rôle de DPO.
Et pour information,en 2023, des contrôles vont justement être menés par la CNIL sur les points liés au DPO, sa désignation et ses missions. (je dis ça, je dis rien…)
Grâce à des profils hétérogènes
Le DPO est souvent présenté comme un mouton à 5 pattes. Il doit en effet disposer de diverses compétences : juridique, informatique, gestion de crise parfois, diplomatie souvent, pédagogie toujours, mais aussi savoir accompagner le changement.
Cela se retrouve d’ailleurs dans la diversité des parcours des DPO actuellement en poste. 47% des DPO sont issus d’autres domaines que le juridique ou l’informatique (administratif et financier, qualité, conformité,…).
Et oui, contrairement aux idées reçues, tous les DPO ne sont pas des juristes !
En tant que nouveau métier, le DPO fait l’objet d’études régulières afin de mesurer son évolution et ses caractéristiques. Retrouvez la dernière étude menée par le Ministère du Travail (réalisée par l’AFPA) en 2022 et basée sur les réponses de 1 811 DPO.
Une certification pour attester des compétences
La CNIL a mis en place depuis 2019, via des organismes agréés, une certification des compétences du DPO. Bien que facultative, celle-ci permet aux DPO de valoriser leurs compétences et connaissances.
Après 2 ans d’expérience dans le domaine ou une formation de 35h, le DPO peut prétendre à passer le certificat. Il est constitué d’un questionnaire à choix multiples d’au moins 100 questions (dont un tiers de cas pratiques) réparties selon 3 thématiques : réglementation, responsabilité et sécurité.
S’il obtient 75 % de bonnes réponses au total et au minimum 50 % dans chacune des 3 thématiques, alors le DPO est détenteur du certificat de compétences DPO pour une durée de 3 ans.
3 ans plus tard, le DPO doit justifier de la poursuite d’acquisition d’expérience dans le domaine et passer de nouveau l’examen afin de renouveler sa certification.
Et c’est une expérience que j’ai eu l’occasion de vivre en novembre dernier. Mon certificat de 2019 arrivant à échéance, j’ai repassé l’examen et me voici donc certifiée par l’AFNOR jusqu’en décembre 2025 (youpi !!) !
En conclusion
Pour avancer sereinement dans votre démarche de mise en conformité RGPD, si vous ne l’avez pas encore fait, partez à la recherche du DPO qui saura vous accompagner et vous guider dans cette belle aventure qu’est la protection des données personnelles.
Si vous avez des questions sur vos obligations RGPD ou sur les missions de DPO, n’hésitez pas à nous contacter.