Le DPO : Son rôle, ses missions, définition

L'article en bref
Temps de lecture : 5minDernière mise à jour : 16/11/2023
Créer votre entreprise avec L-Expert-Comptable.comDémarrer
Ecrit par Justine DROUVOTComptable chez L-Expert-Comptable.com
Image
guillaume-delemarle-expert-comptable
Article certifié par
Guillaume DELEMARLE
 
Expert-comptable avec plus de 9 ans d'expérience. Spécialisé dans l'accompagnement des TPE et créateurs d'entreprise.

Que signifie DPO ? Qu'est ce qu'un Data Protection Officer ? Définition

Le DPO (Data Protection Officer) est le délégué à la protection des données. C'est quoi la protection des données personnelles ? Protéger ces données signifie empêcher que ces informations soit mal utilisés ou volées. Le DPO est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données ( l'ensemble de traitement mis en place ) au sein de l'organisme ( public ou privé ) qui l'a désigné, il conseille et accompagne l'organisme dans les conformités à suivre.

DPO : Quelles sont ses missions ?

Il y a de nombreuses contraintes imposés par le RGPD, le DPO aide à se prémunir de ces contraintes et éventuels autres risques, il veille donc au respect de la réglementation applicable en matière de protection de données personnelles pour l'organisme qui l'a désigné. Les missions du DPO sont :

- D'informer et de conseiller l'organisme ( principalement le responsable de traitement ou le sous-traitant ) au sein duquel il exerce ses fonctions ainsi que leurs employés

- De Contrôler le respecter du règlement et du droit national en matière de protection des données

- De coopérer avec l'autorité de contrôle et d'être l'intermédiaire entre l'organisme dont il est en charge et cette autorité.

- Avoir de la disponibilité et être joignable pour répondre aux besoins de l'organisme qui a désigné son DPO.

- Procéder à une analyse d'impact ( si le délégué considère qu'il y a un risque élevé , il peut soumettre une analyse d'impact, même si celle-ci n'est pas retenu par le responsable de traitement, le DPO ne peut pas subir de sanctions )

Le DPO établit également une démarche de protection des données personnels, pour ce faire :

- Il définit les actions à mener en fonctions des potentiels risques et contraintes

- Il aide l'organisme à cartographier ses traitements.

- Il permet de mettre en forme la conformité de l'organisme afin que celle-ci puisse facilement prouver son respect de la réglementation.

Même si le DPO est en charge du respect des réglementations mise en vigueur, il n'est en aucun cas responsable si ces réglementations n'ont pas été respectés.

RGPD : Quelles sont les sanctions ?

Le RGPD est un texte appliqué et sanctionné par les autorités de contrôle administrative, mais également, comme tout texte juridique, par les tribunaux ordinaires

En effet le RGPD est respecté et craint par les entreprises du fait de leurs lourdes sanctions appliqués. Le RGPD prévoit que chaque État Membre désigne une autorité de contrôle, chargée sur son territoire ( en France, c'est le CNIL ) de son application concrète , les sanctions sont très importantes et s'adaptent aux entreprises étant donnés qu'elles sont en fonctions du taux :

2% du chiffre d'affaires annuel mondial de l'entreprise pour les infractions les moins graves ou 4% pour les infractions les plus graves. Il existe plusieurs types de sanctions :

- Les sanctions RGPD judiciaires

En effet, si un organisme n'a pas respecté les conformités au règlement, il pourra faire appel a des tribunaux ordinaires qui se chargeront de juger et de sanctionner l'affaire, le RGPD protège en priorité la personne même lorsque plusieurs entreprises ont contribué aux même traitement de données préjudiciable.

- Les sanctions RGPD pécuniaires administratives

Si une mesure corrective ne suffit pas et qu’elle estime nécessaire de sévir, l’autorité de contrôle pourra infliger une sanction pécuniaire sur base du RGPD à l’entité considérée. Le montant est évalué selon plusieurs critères : la durée de l'infraction, le nombre de personne, la sensibilités des données,...

- Les sanctions RGPD : Mise en demeure

L'autorité ( En France, le CNIL ), déclenchera une enquête avec plusieurs atouts pour la mener à bien : l'audit sur pièce et sur place, production de documents, témoignages,..

Suite à cette enquête des mesures seront prises pour l'organisme concerné comme par exemple l'effacement de données, l'arrêt d'un traitement, l'installation de mesure de sécurité..

Le DPO est-il obligatoire en entreprise ?

La nomination d'un délégué à la protection des données est obligatoire, si l'un des critères suivant est respecté :

- Les autorités et organismes publics ( ministère, établissement public, collectivités territoriales,.. )

- Les organismes qui traitent à grande échelle des données " sensibles " ( données biométrique, génétiques, relatives à la vie sexuelle, relatives à la santé, convictions religieuses,... )

- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, comme les compagnies d'assurances, banque, fournisseur d'accès internet,...

Quelles sont les formations pour obtenir une certification et comment devenir DPO ?

En effet, certaines organismes doivent nommés obligatoirement un DPO, actuellement il existe dans certains organismes des Correspondants Informatiques et Libertés ( CIL ). Ils font également le lien entre l'autorité de contrôle ( en France, le CNIL ) et ces entités, les CIL peuvent devenir délégué à la protection des données en suivant des formations complémentaires ( obligatoires ).

Une expertise juridique et technique en matière de protection des données personnelles est requise. Les personnes voulant devenir DPO doivent donc être expert dans ce domaine, pour cela des formations DPO fournies par certaines universités d'ingénieur sont disponibles, le but étant :

- D'acquérir une expertise dans le domaine de la protection de données et de la législation

- De connaitre les principaux points de contrôle

- D'avoir une maitrise complète du secteur d'activité ( systèmes d'informations, opérations de traitements,... )

Un DPO doit pouvoir travailler en tout indépendance au sein des entreprises, une maitrise complète et une assurance dans ce domaine sont obligatoire.

Il n'y a pas de réel Certification DPO, le DPO peut donc exercer sans réel certificat. Néanmoins il est très utile, voir indispensable aux près de certains organismes, cela constitue un gage de confiance pour l'entreprise que vous désignera, ainsi que leurs employés. Pour obtenir un certificat DPO, il faut entrer en relation avec les organismes certificateurs agréés par le CNIL et remplir certaines conditions :

- Expérience de 2 ans minimum dans n'importe quel domaine ( administratif, informatique, juridique ) en lien avec les la protection des données personnelles

- 35 heures de formation en la matière

- Ont réussi à l'épreuve écrite

La certification est valable 3 ans a compter de sa délivrance.

Quel est le salaire d'un DPO ?

Le salaire d'un DPO varie en fonction de l'organisme qui le désigne, et de sa relation avec celle-ci ( interne ou externe ). Les personnes exerçant le métier de DPO gagne en moyenne entre 2500€ et 4000€.

Comment désigner un DPO ?

Il existe plusieurs cas pour désigner un DPO.

La désignation d'un DPO se fait lorsqu'un responsable de traitement ou un sous-traitant est une autorité ou un organisme public.

Une autorité ou un organisme public n’est pas cité dans le RGPD, il sera donc nécessaire de se référencer aux lois nationales.

Avant de désigner un DPO, assurez vous que celui-ci respecte quelques conditions :

- Le DPO dispose des moyens suffisant pour assurer ses missions : Le temps, les moyens humains et/ou financiers, joignable facilement par les entreprises qui le désigne,...

- Le DPO possède les compétences nécessaires ( Expertise dans le domaine de la protection des données personnelles, bonne connaissance du secteur d'activité,... )

- La capacité d'agir en indépendance, il ne faut pas être en conflit d'intérêt avec un autre fonction ( s'il y a cumul de DPO ), être autonome pour ses missions et donc ne pas recevoir de direction pour les mener à bien,....

Pour désigner le DPO, il suffit de faire la demande en ligne, sa désignation prendra effet dès le lendemain de la démarche faite en ligne, cela se fait sur le site du CNIL ( si vous êtes en France )

Si vous souhaitez mettre fin aux missions de votre délégué ou modifier la désignation. Envoyez un courriel au service des délégués à l’adresse électronique indiquée dans l’accusé réception de la désignation.

Pour toutes vos demandes, n’oubliez pas de préciser le numéro de désignation (DPO-XXX°) ou le numéro SIREN de l’organisme désignant.

Les conflits d'intérêts

La fonction de délégué peut être exercée à temps plein ou à temps partiel. Le délégué ne doit, et ne peut pas exercer au sein d'une organisme des fonctions le menant à déterminer les moyens d'un traitement et les finalités, il ne peut pas être juge et partie. L'étude d'un conflit d'intérêt est différents dans chaque situation et s'étudie de manière indépendante.

Il y a plusieurs domaines au sein des entreprises ou le risque de conflits d'intérêts est élevé : Directeur général des services, responsable des ressources humaines, responsable marketing, directeur ( financier, opérationnel, médecin,... )