Qu’est-ce qu’un DPO ? (Data protection officer)

Un DPO (data protection officer) est responsable de la sécurité informatique de l’entreprise, conformément au RGPD (règlement général sur la protection des données). Ce professionnel est chargé de superviser la stratégie de protection des données, ainsi que sa mise en oeuvre, afin de garantir le respect des exigences du RGPD.

Les entreprises qui ont besoin d’un DPO

Proposé par le Parlement européen, la Commission européenne et le Conseil européen pour affermir et réguler la protection des données des ressortissants de l’Union européenne (UE), le RGPD appelle à la désignation obligatoire d’un DPO pour toute entreprise ou association qui stocke ou traite des données personnelles de grandes quantités, que ce soit pour ses employés, des personnes extérieures ou les deux.

Des DPO doivent être nommés pour l’ensemble des autorités publiques, ainsi que lorsque les activités essentielles du responsable du traitement des données ou du sous-traitant impliquent un contrôle régulier et systématique des personnes concernées à grande échelle ou lorsque l’entité effectue à grande échelle un traitement de « catégories particulières des informations à caractère personnel », comme celui concernant l’appartenance ethnique ou religieuse.

Responsabilités et exigences du DPO

Le DPO est un rôle obligatoire pour toutes les sociétés qui traitent ou collectent des données d’ordre personnel relatives aux citoyens de l’UE. Ce professionnel est chargé de former la société et ses salariés sur les requêtes importantes en terme de conformité, de modeler le personnel présent dans la façon de traiter les données et d’effectuer fréquemment des audits de sécurité.

Il sert aussi de pont entre la société et toute autorité de contrôle qui supervise les activités relatives aux données. Comme l’indique l’article 39 du règlement général, les responsabilités du DPO comprennent, sans toutefois s’y limiter, ce qui suit :

– sensibiliser la société et les salariés aux requêtes importantes en terme de conformité ;
– modeler le personnel présent dans la façon de traiter les données ;
– réaliser des vérifications afin de s’assurer de la conformité et régler les problèmes potentiels de façon proactive ;
– servir de pont entre la société et les autorités chargés de surveiller le RGPD ;
– suivre les performances et fournir des conseils sur l’impact des efforts relatifs à la sécurisation des données ;
– tenir des registres complets de l’ensemble des procédures de traitement de données réalisées par la société, y compris l’objet de toutes les procédures de traitement devant être publiées sur demande ;
– interagir avec les individus concernés pour les tenir au courant de la façon dont leurs informations personnelles sont employées, de leur droit à l’effacement de ces dernières et des mesures que l’entreprise a mises en place pour assurer la protection de leurs informations personnelles.

Les qualifications du DPO

Le RGPD n’inclut pas de liste spécifique des qualifications des DPO. L’article 37 exige toutefois que ce professionnel dispose d’une connaissance approfondie de la législation et des pratiques en ce qui concerne la protection des données. Le règlement précise aussi que l’expertise du DPO doit s’aligner sur les procédures de traitement des données de l’organisation et sur le degré de protection des données requises pour les informations à caractère personnel traitées par les sous-traitants de données et les responsables du traitement des données.

Les DPO peuvent être des membres du personnel d’un responsable du traitement des données ou du sous-traitant, et les organisations apparentées peuvent utiliser le même professionnel pour superviser collectivement la protection des données, à condition que toutes les procédures de protection des données puissent être administrées par le même individu et que le DPO soit facilement accessible par toute personne de l’une des organisations apparentées en cas de besoin.

Les informations du DPO doivent être publiées de façon publique et communiquées aux différents organismes de surveillance réglementaire.

En somme, les entreprises doivent embaucher des personnes qualifiées, afin de se prémunir de toute sanction. Pour ce faire, ils doivent s’assurer que ces professionnels disposent d’une bonne expertise en matière de législation et de pratiques liées à la protection des données, et une compréhension totale de votre infrastructure digitale, de votre structure organisationnelle et technique, et de votre technologie.

Vous souhaitez en savoir plus sur la manière de choisir son DPO ? Cliquez sur le lien suivant : ici.