Le rôle du DPO : missions, obligations et bonnes pratiques

Le Délégué à la Protection des Données (DPO - Data Protection Officer) est le chef d'orchestre de la conformité RGPD au sein d'une organisation. Prévu par les articles 37 à 39 du RGPD, il joue un rôle d'information, de conseil et de contrôle interne.

Quand la désignation d'un DPO est-elle obligatoire ?

L'article 37 du RGPD rend la désignation d'un DPO obligatoire dans trois cas précis :

• Les autorités et organismes publics (sauf juridictions dans l'exercice de leur fonction juridictionnelle)
• Les organisations dont les activités de base consistent en des opérations de traitement nécessitant un suivi régulier et systématique à grande échelle des personnes concernées
• Les organisations dont les activités de base consistent en un traitement à grande échelle de données sensibles (santé, biométrie, opinions politiques...) ou de données relatives à des condamnations pénales

Les 5 missions principales du DPO

1. Informer et conseiller : Le DPO informe et conseille le responsable de traitement, les sous-traitants et les employés sur leurs obligations RGPD. Il est le référent interne en matière de protection des données.

2. Contrôler la conformité : Il vérifie le respect du RGPD et des politiques internes, y compris la répartition des responsabilités, la sensibilisation et la formation du personnel.

3. Conseiller sur les analyses d'impact (DPIA) : Le DPO fournit des conseils sur la réalisation des DPIA et vérifie leur exécution conformément à l'article 35.

4. Coopérer avec la CNIL : Il est le point de contact privilégié de l'autorité de contrôle et facilite l'accès de celle-ci aux documents et informations.

5. Gérer les demandes d'exercice de droits : Le DPO supervise le traitement des demandes des personnes concernées (accès, rectification, effacement, portabilité...).

DPO interne ou externe : quel choix ?

Le RGPD permet de désigner un DPO interne (salarié) ou externe (prestataire). Chaque option a ses avantages :

Le DPO interne connait parfaitement l'organisation mais peut manquer de recul. Le DPO externe apporte une expertise transversale et une indépendance naturelle, mais nécessite un temps d'appropriation du contexte. Pour les PME, le DPO externe mutualisé (partage entre plusieurs clients) est souvent la solution la plus adaptée en termes de coût et d'expertise.

Les garanties d'indépendance du DPO

• Le DPO ne doit pas recevoir d'instructions sur l'exercice de ses missions
• Il ne peut pas être relevé de ses fonctions ou pénalise pour l'exercice de ses missions
• Il rend compte directement au niveau le plus élevé de la direction
• Il ne doit pas avoir de conflit d'intérêts avec d'autrès fonctions (il ne peut pas être DG, DSI, DRH ou directeur marketing)
• Il doit disposer de ressources suffisantes (temps, budget, formation)