Avez-vous désigné un Délégué à la Protection des Données au sein de votre organisation ? Acteur-clé de la conformité au RGPD des activités impliquant du traitement de données personnelles, sa désignation est recommandée voire parfois obligatoire. Le Data Protection Officer facilite en effet la création d’une culture informatique et libertés en interne, l’intégration des exigences légales dans les projets et la maîtrise du risque réglementaire.
Délégué à la Protection des Données, pour qui ?
La question de désigner un Délégué à la Protection des Données se pose pour toute entité traitant des données à caractère personnel. Ce que votre entité soit une entreprise utilisatrice d’outils informatiques, un fournisseur de solutions ou un sous-traitant. Cette désignation est même obligatoire dans certains cas, notamment pour les instances publiques, les sociétés technologiques ou traitant des données sensibles.
Entités clientes et sous-traitants, tous concernés par le RGPD
Le Règlement européen 2016/679 du 27 avril 2016 (RGPD) s’applique à toute entité réalisant des traitements de données à caractère personnel :
- Les entreprises, associations ou organismes publics au titre de leurs activités courantes (la relation avec les clients/administrés ; la gestion du personnel…) ;
- Les fournisseurs de solutions et prestataires de services appelés à manipuler des données pour le compte de leurs clients.
Selon l’ampleur de la tâche et l’importance des traitements opérés, il peut donc être logique de désigner un Délégué à la Protection des Données qui sera le référent en interne sur ces questions.
Le DPO, une obligation légale pour les instances publiques
Les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données :
- les collectivités territoriales (ex : communes, conseils départementaux ou régionaux…) ;
- les établissements publics, nationaux ou locaux ;
- les établissements scolaires et musées nationaux ;
- les services de l’administration centrale de l’État.
A l’inverse, cette désignation est facultative :
- pour les juridictions agissant dans l’exercice de leurs fonctions ;
- pour les organismes privés chargés d’effectuer une mission de service public ou d’exercer l’autorité publique.
Le DPO, un impératif pour les sociétés technologiques
Un DPO devra également être désigné si l’activité cœur de cible de l’entité conduit à opérer à grande échelle un suivi régulier et systématique.
Tel est le cas notamment des start-up et sociétés commercialisant, à destination de clients B2C ou B2B, des produits et services technologiques :
- un opérateur exploitant un réseau de télécommunication ;
- le fournisseur d’une application mobile de géolocalisation et de calcul d’itinéraires.
La base des adhérents d’une fédération sportive ou celle des clients d’une société de transport urbain seront considérées comme faisant l’objet un traitement de données à grand échelle. Ce n’est pas le cas pour un petit commerce local (boucher ou fleuriste par exemple) ou une association de quartier.
Le DPO obligatoire en cas de traitements de données sensibles
La désignation d’un Délégué à la Protection des Données est encore obligatoire pour des entités dont l’activité cœur de cible implique la manipulation à grande échelle de données sensibles :
- données de santé ;
- données révélant des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ;
- données relatives à la vie et l’orientation sexuelles ;
- …
Tel est le cas par exemple pour :
- une association de lutte contre une maladie cardiovasculaire ;
- un hôpital ;
- une société proposant des prestations de médecine du travail.
A l’inverse, si vous êtes un avocat ou un médecin exerçant à titre individuel, la désignation d’un DPO ne vous sera pas imposée.
Pourquoi désigner un Délégué à la Protection des Données ?
Le Délégué à la Protection des Données joue un rôle de facilitateur. Il contribue à propager une culture informatique et libertés globale dans votre entreprise. Il accompagne également l’embarquement des exigences réglementaires dans tous vos projets. Enfin, il facilite la relation avec les plaignants comme avec l’autorité de régulation.
Pour maîtriser la responsabilité découlant des traitements de données à caractère personnel
La réglementation informatique et libertés instaure des obligations légales qui sont assorties d’une sanction en cas de manquement.
Cette responsabilité est d’autant plus forte qu’elle concernera les traitements de données mis en œuvre :
- par vos services ;
- par vos fournisseurs et sous-traitants pour votre compte.
En découle un risque que vous maîtriserez mieux en désignant un Délégué à la Protection des Données.
Pour garantir une conformité globale de votre activité
C’est un niveau global de conformité des traitements de données effectués qui doit être recherché. Vous mènerez pour cela une analyse des risques et déterminerez les mesures de protection et de sécurité appropriées pour y répondre.
Le DPO facilite la recherche de ce résultat.
Pour imprégner tous vos projets du privacy by design
Le Délégué à la Protection des Données sera régulièrement consulté par vos services.
Il facilitera ainsi la mise en conformité RGPD progressive des activités existantes et l’embarquement des exigences réglementaires dans les nouveaux projets dès leur conception. Une démarche dite de privacy by design sera ainsi mise en place.
Pour gérer la relation avec les plaignants et l’autorité de contrôle
Collaborateurs, administrés, clients, prospects… Tous ont des droits sur les données personnelles que vous traitez. Un Délégué à la Protection des Données s’assurera que ces réclamations sont correctement prises en charge. Il limitera ainsi le risque que l’une d’elle ne fasse l’objet d’une plainte auprès de la CNIL.
Il est d’ailleurs l’interlocuteur-référent de la CNIL :
- pour répondre à ses questions et observations ;
- pour faciliter la bonne réponse à apporter en cas de contrôle de vos activités.
Conclusion : Le Data Protection Officer, une obligation pour votre activité ?
Le Délégué à la Protection des Données est un interlocuteur incontournable pour l’intégration des exigences informatiques et libertés dans vos projets.
Vous devrez déterminer s’il est nécessaire d’en désigner un compte tenu de votre activité. Dans tous les cas, il facilitera l’installation d’une démarche de privacy by design. A ce titre, il contribue à renforcer la confiance que vous accordent vos clients, prospects, administrés et collaborateurs.
Comment (01)