Dernière mise à jour le : 18 août 2023
Mis en place le 25 mai 2018, le RGPD (Règlement général sur la protection des données) est entré dans le quotidien des entreprises et des utilisateurs.
Cette loi, qui encadre le traitement des données personnelles des citoyens de l’Union européenne, et qui s’inscrit également dans le droit français via la Loi française Informatique et Libertés de 1978, a changé définitivement la manière dont sont exploitées les données personnelles. En effet, le RGPD s’applique à toutes les entreprises qui traitent des données personnelles de citoyens de l’Union européenne, quelle que soit leur taille ou leur secteur d’activité.
Dans cet article, nous aborderons le rôle du DPO, une fonction récemment instaurée pour piloter la mise en œuvre du RGPD au sein des entreprises. Nous déterminerons quelles structures sont tenues de nommer ce professionnel, discuterons des conséquences du non-respect de cette exigence, et aborderons les différentes options pour assurer cette fonction, qu’elle soit interne ou externalisée.
RGPD : qui est le DPO et quel est son rôle ?
Le « Data Protection Officer », appelé en français « Délégué à la protection des données » est une fonction spéciale au sein de l’entreprise dédiée à l’application du RGPD. À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles.
Les principales responsabilités associées au DPO sont les suivantes :
- Il informe l’entreprise sur ses obligations légales et conseille sur les meilleures pratiques.
- Il veille à l’application des régulations du RGPD au sein de l’entreprise.
- Il supervise les audits de protection des données et assure le suivi et la mise à jour des processus.
- Il est le point de contact pour les autorités de contrôle et sert de médiateur éventuel entre l’entreprise et les personnes concernées par les traitements de données.
- Il s’assure que la documentation, comme le registre des traitements, est à jour.
- Il forme et sensibilise le personnel aux bonnes pratiques de gestion des données.
- Il gère les incidents éventuels et les notifie aux autorités compétentes.
Pour quelles structures le DPO est-il obligatoire ?
Il existe plusieurs types d’entreprises ou d’organisations pour lesquelles la nomination ou le recrutement d’un DPO est obligatoire :
- les organismes et les entreprises publiques,
- les structures de plus de 250 salariés,
- les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.
Plus exactement, concernant le traitement de données spécifiques, selon l’article 37 du RGPD, il est nécessaire de disposer d’un DPO dans les cas suivants :
- lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
- lorsqu’il s’agit d’un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et / ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Pour savoir si vous êtes concerné par l’un de cas, il faut vous poser les questions suivantes :
Le traitement des données personnelles fait-il partie de l’activité de base de votre structure ?
Par la nature même de votre activité, il faut entendre les produits ou services que vous délivrez, par opposition aux fonctions support de l’entreprise, telles que la gestion de la paie par exemple.
Vous êtes donc vraisemblablement dans l’obligation de recruter un DPO si la nature de votre activité concerne spécifiquement la collecte, la gestion ou l’exploitation de données personnelles.
Le traitement des données personnelles est-il réalisé à grande échelle ?
Il n’est pas évident de définir à partir de quel volume de données, on peut parler de « grande échelle ». De plus, il ne s’agit pas que de volume, mais également de durée ou d’étendue géographique. Cependant, il est possible de deviner que des structures telles que des fournisseurs d’accès ou des moteurs de recherche sont concernés par cette appellation de « traitement à grande échelle ».
Pour ce qui est des PME ou des petites structures, cela devient beaucoup moins évident et à déterminer au cas par cas.
Le traitement des données personnelles implique-t-il un suivi régulier et systématique ?
Il est facile de définir ce qu’est un suivi régulier, ce qui implique une notion de fréquence et de répétition. Par contre, il est beaucoup moins évident de se prononcer sur le concept de “suivi systématique”. On peut considérer qu’il s’agit d’un suivi effectué via un système (informatique par exemple) ou via une méthode spécifique.
Que se passe-t-il si une entreprise ne nomme pas de DPO alors qu’elle est tenue de le faire ?
Si une entreprise n’a pas nommé de DPO alors qu’elle était tenue de le faire, elle s’expose :
- à des sanctions financières de type amendes (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial)
- à une mise sous surveillance par les autorités de contrôle.
- à une responsabilité juridique accrue en cas d’incident lié à la gestion des données personnelles ou à la sécurité informatique,
- à une perte d’image et de réputation.
Pas concerné par l’obligation ? Il vous faut tout de même appliquer le RGPD
Si votre entreprise ne relève pas des spécificités évoquées plus haut et n’est donc pas obligée de disposer d’un DPO, elle doit tout de même s’acquitter de ses obligations RGPD. Une ou plusieurs personnes devront donc :
- constituer un registre de traitement des données,
- faire respecter le droit des personnes,
- mettre en conformité votre système d’information,
- documenter vos procédures.
Qui peut être DPO au sein de l’entreprise ?
- En théorie, tout collaborateur de l’entreprise peut être désigné DPO, tant qu’il dispose des connaissances nécessaires en matière d’application du RGPD.
- Il est possible de désigner une ou plusieurs personnes pour accomplir ce rôle, ceci étant à évaluer en fonction de la taille de l’entreprise et de l’ampleur de la tâche.
- Il n’est pas obligatoire que cette personne soit un collaborateur, il peut également s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / où d’un cabinet d’avocats pour la gestion juridique.
DPO : pourquoi recourir à un externe ?
Selon l’Article 37 du RGPD : « Le délégué à la protection des données sera désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à remplir les tâches visées à l’article 39. »
Ce qui veut dire que la personne en charge du RGPD de l’entreprise doit posséder, de par la loi, une connaissance du droit de la protection des données et être en mesure de remplir les tâches stipulées dans le RGPD. Il doit également avoir une compréhension des processus techniques de traitement des données.
De plus, il existe certaines obligations légales à respecter :
- Indépendance : Le DPO doit être en mesure d’effectuer ses tâches en toute indépendance.
- Confidentialité : Le DPO est tenu de respecter la confidentialité et le secret professionnel concernant l’exécution de ses tâches.
- Formation : L’entreprise est tenue de fournir au DPO les ressources nécessaires pour maintenir et mettre à jour ses connaissances.
- Accès : Le DPO doit avoir accès à toutes les informations nécessaires pour effectuer ses tâches.
Face à ces obligations, certaines entreprises considèrent plus facile et confortable le recours à un consultant ou prestataire externe spécialisé et experimenté, plutôt que de confier cette tâche en interne.
Quels critères pour choisir son représentant RGPD externe ?
La désignation d’un DPO externe nécessite la prise en compte des qualifications professionnelles du prestataire, de son expérience en matière de pratiques de protection des données, gestion de la confidentialité des données et cybersécurité, de sa compréhension technique des processus de traitement des données ou encore, de sa formation juridique.
Il faudra également s’assurer que le prestataire sera à même d’effectuer les actions suivantes :
- cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements
- au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
- travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
- documenter toutes ces actions de façon à être à même de prouver aux organismes régulateurs que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement.
Audit de conformité RGPD
Chez Déessi, nous vous proposons un accompagnement pour vérifier la conformité RGPD de votre système d’information et mettre en place toutes les actions correctrices éventuellement nécessaires.
Nous proposons 2 types d’audit de conformité afin de répondre aux besoins des structures pour lesquelles le RGPD et sa mise en application n’est pas critique, mais également pour les structures qui ont besoin d’un accompagnement plus pointu.
Pour en savoir plus, rendez-vous sur notre page audits de conformité RGPD.