Les missions du Délégué à la Protection des Données
Le DPD (ou DPO en anglais) est principalement en charge, au sein de l’organisation du Client, des missions et fonctions énoncées aux articles 38 et 39 du Règlement Général pour la Protection des Données :
- recueillir des informations permettant de recenser les activités de traitement;
- analyser et vérifier la conformité des activités de traitement;
- informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés;
- contrôler le respect du règlement et du droit national en matière de protection des données;
- conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution;
- coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci;
- répondre aux demandes d’exercice de droit dans les délais fixés par le RGPD.
Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
La concrétisation de ces missions se matérialise par l’élaboration de livrables, tels que le registre des traitements, un plan d’actions priorisées, des documents et supports d’information, des propositions de procédures internes, etc.
Compétences du DPD
Si le DPD doit désigné « sur la base de ses qualités professionnelles », il n’existe pas de profil type du délégué, qui peut être une personne issue du domaine technique, juridique ou autre.
Cependant les compétences nécessaires à l’accomplissement de la mission de DPD sont variées et transversales: informatiques, juridiques, organisationnelles, pédagogiques…
Désignation du DPD
Attention à ne pas confondre la désignation en interne d’un pilote du projet de mise en conformité RGPD, avec la désignation d’un DPD.
La désignation d’un DPD est effectuée sur le site internet de la CNIL, qui l’a rend officielle et publique.
Cette désignation est conseillée pour toute entreprise, mais elle est aussi obligatoire si :
- Vous êtes un organisme public ;
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Responsabilité du DPD
Le DPD n’est pas responsable en cas de de non-respect du règlement.
C’est le responsable du traitement (RT) ou le sous-traitant (ST) qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24.1 du règlement).
Risque de conflit d’intérêt
Comme le précisent les lignes directrices du G29 :
« il n’est pas possible de transférer au Délégué, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant.
A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.
Un conflit d’intérêt peut également exister par exemple si un délégué sur la base d’un contrat de service représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel.»
Il apparaît donc peu pertinent qu’un sous-traitant de données (tels que expert comptable, prestataire informatique, conseil juridique …) puisse être désigné DPD.
Pourquoi externaliser la fonction de DPD ?
- vous restez concentré sur votre cœur de métier
- vous respectez le principe d’indépendance vis à vis du responsable de traitement tel que définit par le Règlement
- vous bénéficiez d’ une vision globale et de compétences transversales nécessaires à l’accomplissement de la mission
- vous disposez d’un interlocuteur unique enregistré officiellement auprès de la CNIL
Notre prestation DPD s’exerce dans le cadre d’un contrat annuel, renouvelable par tacite reconduction.