Partagez cet article










Submit
tinny ()

RGPD : Adopte un DPO

Après notre article de la semaine dernière sur le RGPD pour les nuls, nous allons vous parler cette semaine d’une nouvelle sorte de délégué en entreprise, dont vous avez dû entendre parler, le délégué à la protection des données, appelé aussi DPO (Data protection officer), qui devra être nommé dans certaines entreprises à partir du 25 mai 2018. Êtes-vous concerné ? À quoi va servir le DPO ? Rocket Lawyer vous aide à faire le point.

Qui est concerné ?

On vous rassure tout de suite ! Toutes les entreprises ne seront pas obligées d’avoir un nouveau délégué à la protection des données. Tout dépend de la structure de l’entreprise, de son coeur de métier, de la notion de traitement de données personnelles sensibles ou de l’ampleur des données traitées, du nombre de personnes, etc.

Dans quel cas le DPO sera-t-il obligatoire ?

Un délégué à la protection des données doit être désigné dans 3 cas :

  • lorsque vous collectez des données personnelles dont le traitement exige un suivi régulier, systématique et sur une grande ampleur des personnes concernées, comme par exemple : mise en place d’un programme de fidélité clients pour un supermarché ;
  • lorsque vous collectez des données personnelles “sensibles” liées à la santé par exemple, ou en lien avec les infractions et les condamnations pénales. Exemple : vous créez une application mobile qui permet de suivre le niveau d’insuline des gens ;
  • enfin, lorsque les données personnelles sont collectées par une autorité publique, à l’exception des juridictions.

Rassurez vous, les traitements de données dits “auxiliaires”, c’est-à-dire communs à toutes les entreprises ou organisations, comme les traitements liés à la gestion des salaires des employés ou ceux liés à la comptabilité, ne sont pas pris en compte dans l’obligation d’être suivies par un DPO, et donc n’entraînent pas l’obligation d’avoir un DPO, quelle que soit la taille de l’entreprise ou de l’organisation.

Un DPO, pour quoi faire ?

Au même titre que le comptable doit s’occuper de la comptabilité d’une entreprise pour qu’elle soit en accord avec la loi, le DPO va vérifier que les pratiques de l’entreprise en matière de données personnelles sont conformes au règlement européen.

Le DPO va contrôler et accompagner tous les traitements des données personnelles de l’entreprise.

Qui peut être désigné comme DPO ?

Le DPO peut être un salarié de votre entreprise. Il peut aussi s’agir d’un salarié spécialement recruté pour tenir ce rôle. Il peut être à temps plein ou à temps partiel. Le DPO peut être une personne extérieure à votre entreprise, un free-lance, par exemple, ou encore il pourra être partagé entre plusieurs entreprises. Certaines estimations prévoient que plus de 25 000 postes de DPO pourraient ainsi être créés en France.

Quelles sont les trois conditions de désignation du DPO ?

  • les compétences : le DPO doit être désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances sur la protection des données, et de sa capacité à accomplir cette mission. Le cas échéant, il pourra suivre une formation ;
  • les moyens : le DPO doit disposer de moyens suffisants pour l’exercice de sa mission, et notamment de temps suffisant pour exercer sa mission, de moyens matériels et humains, d’accès aux informations ;
  • l’indépendance : le DPO ne doit pas être en situation de conflit d’intérêts, il doit pouvoir rendre compte de son action au niveau de la direction de l’organisme et surtout, il ne doit pas pouvoir être sanctionné du fait de sa fonction.

Voilà pour ce second article Blog sur le RGPD, après celui de la semaine dernière sur les données personnelles pour les nuls, et avant celui de la semaine prochaine sur RGPD et RH… Bonne semaine!

Pour continuer : si vous voulez en savoir plus pour être en conformité avec le RGPD, vous pouvez lire notre check-list pour être prêt pour le 25 mai 2018.

Articles similaires