Un responsable de la protection des données (DPO) joue un rôle de premier plan dans la sécurité des entreprises, conformément au règlement général sur la protection des données (RGPD). Les responsables de la protection des données sont responsables de la supervision de la stratégie de l’entreprise en matière de protection des données et de sa mise en œuvre afin de garantir la conformité avec les exigences du RGPD.

Quelles entreprises ont besoin de responsables de la protection des données ?

Le RGPD a été proposé par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer et rationaliser la protection des données des citoyens de l’Union européenne. Il appelle à la nomination obligatoire d’un délégué à la protection des données dans chaque organisation qui traite ou stocke des données à caractère personnel pour les citoyens de l’UE. Les DPO doivent être « nommés pour toutes les autorités publiques et lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent un « contrôle régulier et systématique des personnes concernées par des données à grande échelle » ou lorsque l’entité effectue un traitement à grande échelle de « catégories spéciales de données ». Plus de détails sur le site de Dpo consulting.

Le RGPD indique que la taille d’une entreprise n’est pas ce qui nécessite le besoin d’un DPO, mais plutôt la taille et l’étendue du traitement des données. Malheureusement, le RGPD ne définit pas spécifiquement ce qu’il considère être du traitement de données «à grande échelle». Cependant, les autorités gouvernementales utilisent quatre facteurs clés pour déterminer si un DPO sera nécessaire.

Ces quatre facteurs sont :

  • Personnes concernées
  • Éléments de données
  • Durée de conservation des données
  • Portée géographique du traitement

Bien qu’il n’existe pas de directives précises concernant l’ampleur du traitement des données, la plupart des petites entreprises ne seront pas tenues de faire appel à un DPO sauf si leur activité principale est la collecte ou le stockage de données.

Responsabilités et exigences du délégué à la protection des données

Le responsable de la protection des données est un rôle obligatoire pour toutes les entreprises qui collectent ou traitent les données à caractère personnel des citoyens de l’UE, en vertu de l’article 37 du RGP. Les DPO sont responsables d’informer la société et ses employés sur la conformité, de former le personnel impliqué dans le traitement de données et de mener des audits de sécurité réguliers. Les DPO servent également de point de contact entre l’entreprise et les autorités de surveillance (AS) chargées de superviser les activités liées aux données.

Comme indiqué à l’article 39 du RGPD, les responsabilités du DPO comprennent, entre autres :

  • Informer l’entreprise et les employés sur les exigences de conformité importantes
  • Formation du personnel impliqué dans le traitement des données
  • Réaliser des audits pour assurer la conformité et résoudre les problèmes potentiels de manière proactive
  • Servir de point de contact entre la société et les autorités de surveillance RGPD
  • Contrôle des performances et conseil sur l’impact des efforts de protection des données
  • Tenue à jour de registres complets de toutes les activités de traitement de données menées par l’entreprise, y compris des finalités de toutes les activités de traitement, qui doivent être rendues publiques sur demande
  • Interagir avec les personnes concernées pour les informer de la manière dont les données sont utilisées et sur leurs droits.

 

Qualifications pour les responsables de la protection des données

Le RGPD n’inclut pas de liste spécifique des pouvoirs du DPO, mais l’ article 37 exige qu’un responsable de la protection des données dispose d’une « connaissance approfondie du droit et des pratiques en matière de protection des données ».

Les DPO peuvent être un responsable du traitement et les organisations associées peuvent utiliser la même personne pour superviser collectivement la protection des données, à condition que l’opérateur soit facilement accessible à quiconque au sein de ces organisations. Les informations du DPO doivent obligatoirement être publiées et communiquées à tous les organismes de surveillance réglementaire.