L'expert, Karen Berteloot, Membre du réseau Eurojuris France.
Quelles sont les missions du délégué à la protection des données (DPO)?
Le DPO informe et conseille le responsable de traitement, les sous-traitants (1) et leurs équipes de leurs obligations en matière de données personnelles. Il est également chargé d’une mission de contrôle du respect par le responsable du traitement et les sous-traitants de la réglementation applicable à ce titre. Cette mission peut s’exercer notamment dans le cadre d’audit. Si l’un des traitements de données personnelles mis en place implique la réalisation préalable d’une analyse d’impact (2), le DPO conseille les équipes en charge de cette analyse. Enfin, le DPO est le « point de contact » en matière de données personnelles tant pour les équipes internes, que pour la Cnil, puisqu’il est chargé de coopérer en cas de contrôle ou de consultation préalable (3). Il est également le « point de contact » des administrés et ses coordonnées doivent être publiées.
Qui désigner?
La désignation du DPO ne doit pas être laissée au hasard. Tout d’abord, il est une personne qualifiée, car sa désignation doit se baser sur ses qualités professionnelles et, notamment, ses connaissances juridiques et techniques en matière de pro- tection des données personnelles. Il est ensuite une personne de confiance, car il doit être associé à toutes les questions relatives aux données personnelles et doit respecter la confi- dentialité des informations portées à sa connaissance. Enfin, le DPO est une personne indépendante, car sa qualité de DPO ne doit pas entraîner un conflit d’intérêts avec ses autres tâches ou missions. À ce titre, il a été précisé qu’au sein d’une commune le maire ne peut pas être désigné « DPO »(4).
Comment le désigner ?
Le DPO doit être désigné auprès de la Cnil, laquelle a mis
en ligne un formulaire de désignation. Le DPO peut être l’un des agents de l’organisme public ou un prestataire externe. Sous conditions, il est possible de mutualiser sa désignation entre plusieurs organismes publics. Enfin, le DPO doit recevoir du responsable du traitement et des sous-traitants les ressources, moyens et accès lui permettant d’exercer ses missions et d’ac- tualiser ses connaissances.
1. Le « sous-traitant » au sens du Règlement général sur la protection des données (RGPD) est la personne qui traite les données personnelles au nom et pour le compte du responsable du traitement. 2. Article 35 du RGPD.
3. Article 36 du RGPD.
4. Réponse ministérielle publiée au JO du Sénat, le 27 septembre 2018, p. 4914.
POUR EN SAVOIR PLUS
La Protection des données personnelles, Cet ouvrage présente de manière pratique les principaux aspects de la réglementation telle qu’elle s’applique désormais en France, au 20 octobre 2018.
Il analyse aussi les évolutions possibles de la réglementa- tion dans le cadre du futur règlement européen « ePrivacy » concernant la protection des données dans les communications électroniques. Éditions Francis Lefebvre
Inscrivez-vous dès maintenant sur le groupe Facebook Paroles de Maires pour obtenir des informations quotidiennes sur l'actualité de vos missions.