Un DPO,ça sert à quoi ?

article SYSGUARD DPO a quoi cela sert

Les données sont aujourd’hui une mine d’or. Sur internet, on peut en collecter des quantités astronomiques. Toutefois, peut-on collecter n’importe quelles données concernant des personnes physiques ?

 Le Règlement Général à la Protection des données (RGPD) répond à cette question. Il impose des normes contraignantes et renforce les droits des personnes sur leurs données à caractère personnel.

L’introduction du RGPD au sein de notre hiérarchie des normes a fait naître une nouvelle activité destinée à faire appliquer ce règlement européen : le délégué à la protection des données ou Data Protector Officer en anglais (DPO). Sa fonction devient de plus en plus essentielle au sein des organisations aussi bien privées que public. Ses missions sont riches et variées.

On peut les classer en deux catégories : les missions stratégiques et les missions de communication.

Les missions stratégiques

Avant tout on peut affirmer que le délégué à la protection des données (On abrégera dans cet article par DPO) est le garant de la protection des données à caractère personnel. C’est lui qui après un audit va définir la politique de collecte, de gestion et de protection des données collectées. Pour se faire, il travaille avec l’ensemble des acteurs d’une organisation qui, exploitent des données à caractère personnel et les responsables des services informatiques.

Il veille ainsi à faire respecter les procédures mises en place, réalise des veilles documentaires sur les législations connexes.

Le DPO réalise des audits pour mesurer la conformité et apporte des correctifs quand cela est nécessaire. Il met à jour les registres de traitements, effectue des recommandations quant à l’archivage ou la suppression de données lorsque les finalités et/ou les durées de conservation sont atteintes.

Également, Il conseille également les équipes de collaborateurs, les différents services dans le cadre de la mise en place d’actions.

Exemple : une société organise un jeu concours sur internet. Le DPO intervient pour conseiller sur la collecte des données (principe de minimisation) définir la ou les finalités, la durée de conservation, la sécurisation, les mentions obligatoires à insérer, etc.

Il supervise les analyses d’impact (AIPD). Celles-ci sont mises en œuvre pour évaluer les éventuels risques en matière de sécurisation des données. Avec l’équipe informatique, il réalise des tests et préconise des solutions pour limiter les risques de violations des données (perte ou vol suite à une intrusion dans le système informatique, un fait d’un collaborateur…). Le DPO s’assure de la bonne mise en œuvre des AIPD. De plus, il veille à ce que celles-ci respectent les standards légaux.

Les missions de communication

Il existe une grande part de communication entre le DPO, les collaborateurs de l’organisation dans laquelle il intervient, les personnes physiques dont des données sont collectées et exploitées et enfin l’autorité de contrôle à savoir la CNIL (Commission Nationale Informatique et Libertés).

Là aussi les missions sont riches et variées :

Le DPO et les collaborateurs

Avec les équipes de l’entreprise, il conseille, évalue les plans d’actions et de développement des activités pour s’assurer que chaque process est conforme au RGPD. Cela se traduit par des consultations, des analyses et une collaboration constante.

De plus, il sensibilise et forme au RGPD les collaborateurs amenés à collecter et exploiter des données à caractère personnelles. Il met en place des plans de formation adaptés aux niveaux et fonctions au sein de l’organisation. Cela contribue à renforcer les compétences et rendre autonome tout salarié amené à traiter des données à caractère personnel.

Également pour maintenir les compétences, il met en place des actions de communication (Envoi de Newsletter, séminaire etc.) Cela confère à chaque salarié, un rôle proactif notamment sur les enjeux liés au RGPD et d’autre part, informer sur les évolutions.

Le DPO garant du droit des personnes

Le RGPD vient renforcer le droit des personnes. Ainsi, il permet à toutes physiques les droits d’accéder, de modifier et de supprimer (sauf en cas de motifs impérieux ou intérêts légitimes. Exemple un salarié ne peut pas demander la suppression de ses données tant que ses droits à la retraite ne sont pas liquidés à un employeur). Le DPO veille à ce que chaque personne obtienne une réponse à ses demandes dans les délais impartis.

Le DPO interlocuteur privilégié de la CNIL

Enfin, le DPO entretient une relation étroite avec l’autorité administrative indépendante chargée de réguler les questions de droit à l’informatique et des libertés à savoir la CNIL. En effet, c’est le DPO qui, en cas de violation de données intervient. Dans les 72H, à compter de l’instant où la fuite de données a été constatée. Il doit informer la CNIL, de l’incident et des solutions mises en place pour éviter que l’incident ne survienne à nouveau. C’est une de ses principales responsabilités. On peut dire qu’il est un coordinateur en cas d’incident pour remédier avec les équipes informatiques à la situation compromettante. Il va donc coordonner les actions correctrices, documenter l’incident et les procédures mises en place.

Pour conclure

Si dans les organisations privées, le DPO n’est pas obligatoire mais fortement recommandé. Il est obligatoire pour :

  • Les organisations publiques
  • Les organismes privés qui traitent des données à grandes échelles ainsi que des données sensibles (Exemple les hôpitaux privées, les cabinets RH…).

Aujourd’hui, face à un contexte en matière de cybersécurité lourd, avoir un DPO n’est pas une charge financière. C’est un investissement qui contribuera à la pérennité des organisations. De plus, il sera très utile en cas de contrôle de la CNIL. Il saura expliquer au responsable des traitements les problématiques et apporter des solutions concrètes.

Le DPO est désormais un pilier pour toutes entreprises, aussi bien petites que grandes. C’est un gage de sérieux pour renforcer la confiance de l’organisation envers ses clients et usagers. Selon la taille de la structure, il est possible d’adapter la mission en termes de temps d’intervention. Il est également concevable de mutualiser les missions au sein d’un groupe, voir mutualiser les coûts.

Chez SYSGUARD, nous savons nous adapter et proposer des prestations de mise en conformité et de suivi sur mesure. Nous proposons pour les TPE une mise en conformité simplifiée avec un tarif forfaitaire accessible.

Besoin de se mettre en conformité et de se faire accompagner pour votre RGPD ? Contactez-nous.

article SYSGUARD DPO a quoi cela sert
article SYSGUARD DPO a quoi cela sert

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 21 juin 2024