Depuis l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) en 2018, la désignation d’un Délégué à la Protection des Données, ou Data Protection Officer (DPO), est obligatoire dans certains cas, et fortement recommandée par le Comité européens à la commission des données et par la Commission National de l’Informatique et des Libertés (CNIL) dans les autres.
Le DPO a une mission générale de conseil et de sensibilisation à la réglementation imposée par le RGPD.
📣 ROBIN, pour vous, clarifie les conditions de désignation d’un DPO et ses missions.
🔹Quels sont les organismes dans lesquels la désignation d’un DPO est obligatoire ?
👉Les DPO sont obligatoires dans :
Ce sont les informations
👉En dehors de ces organismes, la désignation d’un DPO permet de prévenir tous risques et de vérifier la bonne application du RGPD. En effet, le RGPD s’applique à toute entreprise :
🔹Qu’est ce qu’un traitement de données à caractère personnel ?
Selon la CNIL, les données à caractère personnel correspondent à toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone...
Un traitement de données à caractère personnel correspond à toute opération portant sur des données personnelles, informatisées ou non, quel que soit le procédé utilisé.
Les données sensibles sont celles qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale.
La collecte des données sensibles est interdite, sauf dans certains cas, et si la personne concernée a donné son consentement exprès, si elle concerne les membres ou adhérents d’une association, ou si leur utilisation est justifiée par l’intérêt public et autorisée par la CNIL.
🔹Selon quels critères désigner le DPO ?
Le choix du DPO est libre, à condition que la personne désignée puisse exercer sa mission en toute indépendance.
Ainsi, si le DPO a une autre fonction dans l’entreprise, il ne doit pas y avoir de conflit d’intérêt, il doit également rendre compte de son activité de DPO à sa hiérarchie, et ne pas recevoir d’instructions dans le cadre de sa mission de DPO.
Il peut s’agir d’une personne extérieure à l’entreprise, agissant sur la base d’un contrat de prestation de service, ou d’un employé du responsable de traitement ou du sous-traitant.
Le DPO doit disposer de compétences en matière de droit et pratiques de protection des données.
💡A savoir, il existe des procédures de certification par des organismes agréés qui permettent aujourd’hui de s’assurer des compétences du DPO.
Les coordonnées du DPO doivent être déclarées à la CNIL.
👉Un groupe d'entreprises peut désigner un seul DPO à la condition qu'il soit facilement joignable à partir de chaque lieu d'établissement.
🔹Quelles sont les caractéristiques du DPO ?
Le responsable du traitement des données, ou le sous-traitant, doit se référer au DPO pour toutes les questions relevant de la protection des données à caractère personnel.
Le DPO doit avoir accès à l’ensemble des données collectées et au mécanisme de traitement. ll est soumis au secret professionnel.
Il doit rendre compte de son travail à sa hiérarchie. Il ne doit recevoir aucune instruction de la part du responsable du traitement ou du sous-traitant et il doit exercer sa mission en toute indépendance.
Enfin, le DPO n’est pas personnellement responsable du non-respect par l’organisme de la réglementation applicable en matière de protection des données.
🔹Quelles sont les missions du DPO ?
Le DPO doit répondre aux interrogations du personnel en charge du traitement des données d’une part et aux interrogations des personnes dont les données sont traitées d’autre part.
Il doit les informer de la réglementation tant européenne que française existante et des droits dont disposent les personnes sur le traitement de leurs données.
📝Le DPO doit également conseiller le responsable du traitement des données sur la nécessité de réaliser une analyse d’impact et vérifie la bonne exécution de celle-ci.
Il est également l’interlocuteur privilégié de la CNIL, plus particulièrement lorsqu’une analyse d’impact révèle qu’un traitement présente un risque élevé.
🔹 Qu’est ce qu’une analyse d’impact relative à la protection des données ?
L’analyse d’impact relative à la protection des données est obligatoire lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Elle doit intervenir avant la mise en place du traitement et comporte trois parties :
👉Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
👉L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) ;
👉L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
Lorsque le risque d’atteintes aux droits fondamentaux est élevé, l’analyse d’impact doit être transmis à la CNIL.
L'interlocuteur rassurant qui anticipe les problèmes juridiques des entrepreneurs
À l'aide d'une plateforme dédiée numérique et téléphone, disponible 7 jours sur 7, posez votre question avec vos mots, nous vous offrons 20 minutes au téléphone avec un avocat expert pour vous répondre
Pour poser votre première question juridique à ROBIN ou prendre contact avec l'équipe, prenez rendez-vous avec nous.