Le DPO est un professionnel obligatoire. Il est sollicité dans certains secteurs surtout dans le domaine public et la santé. Outre cela, l’autorité de contrôle peut le solliciter dans le webmarketing ou encore les activités informatiques. Dès lors qu’une entreprise traite de données à caractère personnelles, elle doit désigner un Data Protection Officer. Mais comment le choisir ?
DPO et RGPD : Une relation de proximité
Le règlement général relatif à la protection des données met en place de nouvelles obligations pour garantir le respect des droits des personnes. Il faut du DPO, l’acteur principal du respect des droits et libertés des personnes concernées des traitements de données. Selon la CNIL, c’est le chef d’orchestre de toutes les dispositions relatives à la protection des données à caractère personnel.
Dans les situations où la collecte et les traitements de données personnelles entraînent un risque de violation, sa désignation est nécessaire.
Vérifier la formation d’un délégué à la protection des données ou DPO obligatoire
Le premier critère à prendre en compte lors du choix du DPO est la formation suivie par le candidat. Il doit avoir une parfaite maîtrise des législations en ce qui concerne la sécurité des données et la protection de la vie privée des personnes physiques concernées.
La formation DPO permet de renforcer ces connaissances de base et de mieux se renseigner sur les réalités de la protection des données collectées à caractère personnel.
Certains DPO ont une certification Bureau Veritas Certification. Pour ce faire, il faut prouver avoir suivi une formation de 6 jours au moins dans le domaine et d’avoir une expérience de deux ans ou plus, avec un examen de certification. Le DPO certifié peut aussi adhérer à l’UDPO et bénéficier d’une carte professionnelle.
Se renseigner ici pour en savoir plus sur le métier de DPO obligatoire.
Les principales missions du DPO
Le DPO, s’il est identifié, a plusieurs missions lui incombant :
- Faire un inventaire des traitements de données ;
- Faire une évaluation du processus et mettre en place de nouvelles procédures de protection de la vie privée ;
- Faire le point sur les risques associés au traitement des données ;
- Garantir le respect des droits des personnes : effacement, transferts, rectification, droit d’accès, durée de conservation…
- Effectuer une analyse d’impact.
Comment se fait la désignation du DPO ?
Dès lors que l’entreprise a sélectionné son DPO, il convient de s’assurer qu’il ait tous les moyens à sa guise pour l’exercice de ses missions et qu’il peut agir en toute indépendance.
Pour être mis en conformité avec le RGPD et pour garantir la protection des données personnelles, le rôle du délégué à la protection des données est essentiel. Sa désignation justement se fait en ligne, sur le site de l’autorité de contrôle (la commission nationale informatique et libertés. Un formulaire vous permettra de désigner un délégué à la protection des données rapidement. Depuis ce même formulaire vous pouvez déterminer s’il s’agit d’un employé de l’entreprise ou un prestataire externe.
Choisir un DPO externe ou interne pour la protection des données à caractère personnel ?
Faire appel à un DPO interne ou externe, c’est la question que se pose le responsable du traitement et son sous-traitant. Il faut tout d’abord savoir quelle est l’ampleur des missions à mener pour se mettre en conformité avec le règlement européen. Nombreuses sont les entreprises démarrant seules pour finalement faire appel à un DPO externe vu la complexité des démarches et des mesures techniques pour une mise en conformité avec le RGPD.
Un Dpo externe peut vous aider à respecter le règlement général notamment avec :
- La cartographie du traitement des données ;
- L’audit ;
- Le plan de protection des données sensibles et des données personnelles.
A lire également :
Site web et RGPD : comment se conformer aux nouvelles règles