Les différentes catégories de DPO
Il existe 3 types de Délégué à la Protection des Données :
- Le DPO interne : salarié d’un seul responsable de traitement ;
- Le DPO interne mutualisé : salarié mutualisé pour plusieurs responsables de traitement ;
- Le DPO externe : indépendant (organisme spécialisé dans la protection des données tel que le réseau national Agence RGPD ; cabinet de conseil ; avocats…).
Par ailleurs, si le DPO n’est pas responsable de la conformité d’un organisme à la législation applicable en matière de protection des données, il est toutefois l’acteur clef pour l’accompagner et l’aider à se conformer à ses obligations.
Quel est le rôle d’un DPO (ou Délégué à la Protection des Données) ?
La fonction de DPO est réglementée par les articles 37 à 39 du RGPD. L’Agence RGPD vous résume ses missions :
Conseiller et accompagner l’organisme :
Le DPO apporte son expertise auprès des responsables de traitement et diffuse la culture et les règles de protection des données auprès de toutes les personnes amenées à traiter des données personnelles pour le compte de l’organisme. Par exemple, le DPO peut intervenir pour :
- Pour l’élaboration et la rédaction du registre des activités de traitement de l’entité ;
- Pour la rédaction/révision des politiques internes (procédure de gestion des demandes de droit ; de gestion des violations de données ; de gestion des durées de conservation & d’archivage ; etc) ;
- Pour mener une analyse d’impact ;
- Pour former et/ou sensibiliser le personnel aux notions de protection des données : à ce titre, l’Agence RGPD propose un catalogue de plus de 40 formations relatives à la protection des données, et sur 3 niveaux de compétences distincts (débutant ; intermédiaire et confirmé).
Contrôler l’effectivité des règles :
Par le biais d’audits externes, ou de relais en interne, le DPO mène, en collaboration avec d’autres fonctions (tel que le Responsable de la sécurité des systèmes d’information par exemple) les vérifications de conformité des responsables de traitement.
A ce titre, l’Agence RGPD propose des audits RGPD complets de l’état d’une structure en matière de protection des données, et réalise pour le compte de ses clients des audits intermédiaires réguliers qui permettent de veiller au maintien en conformité de ces derniers.
Être le point de contact de l’organisme sur les sujets RGPD :
D’abord, le DPO est le point de contact des personnes dont les données sont traitées par un responsable de traitement qui l’a désigné. A ce titre, il peut prendre en charge l’organisation du traitement de leurs demandes d’exercice de droits, ou encore être sollicité par les personnes concernées (salariés, agents, clients, fournisseurs, étudiants, usagers, etc.) au sujet de toute question relative au traitement de leurs données personnelles.
Dans le cadre de ses missions, le DPO peut également être amené à coopérer avec la CNIL, et jouer un rôle de « facilitateur » à l’occasion des échanges avec l’autorité de contrôle (réponse aux demandes de contrôle sur place ; instruction d’une réclamation ; notification d’une violation de données…)
Assurer la documentation des traitements de données :
La documentation tient un rôle majeur dans la nouvelle logique de responsabilisation (ou Accountability) du RGPD. C’est ce qui permet à un organisme, de démontrer le respect de ses obligations en matière de protection des données.
Cela inclut par exemple :
- Le registre des activités de traitement opérées chez un responsable de traitement et/ou un sous-traitant ;
- Les procédures internes écrites sur les notions essentielles du RGPD (exemples : procédure de gestion des demandes de droit ; procédure de gestion des violations de données ; procédure de gestion des consentements ; procédure des durées de conservation…) ;
- Les analyses d’impact ;
- Les contrats de sous-traitance RGPD ;
- Les supports de sensibilisation des salariés ;
- Etc.
