Pierre angulaire des mises en conformité RGPD, le Délégué à la Protection des Données (DPD, ou DPO en anglais) est désormais un acteur incontournable dans le paysage des données à caractère personnel. Deshoulières Avocats vous propose 5 conseils pour bien le choisir.
1. Le DPO doit être un expert
Le DPO exerce des missions juridiques et doit disposer d’un niveau d’expertise en droit, et plus particulièrement en matière de protection des données personnelles. Il doit maîtriser les fonctionnements des différentes structures qui collectent et traitent des données, de la petite association à la start-up, en passant par une entreprise de plusieurs centaines de salariés.
Il doit également disposer de compétences techniques et doit connaître parfaitement les différents process technologiques actuels afin de comprendre le fonctionnement de l’environnement numérique de l’organisme concerné.
Pour autant, il doit être capable de s’exprimer de manière claire et précise et d’être audible pour l’entreprise ou l’association pour laquelle il est DPO.
2. Le DPO doit être joignable et réactif
Le DPO peut être contacté par les organismes de contrôle (la Cnil en France), par les membres de l’entreprise ou de l’organisme pour qui il exerce, ou par toute personne qui souhaite faire valoir ses droits en matière de protection des données à caractère personnel. Il doit donc être réactif et joignable rapidement par téléphone ou email, et si possible être situé sur le territoire de l’Union Européenne.
3. Le DPO doit être polyvalent
Ses missions sont nombreuses et variées, couvrant un éventail assez large de compétences qui peuvent être résumées en 4 principes missions :
- le contrôle de la bonne application du RGPD et de la réglementation en matière de droit des données personnelles au sein de votre organisme ;
- l’information, le conseil et la formation des membres de votre organisme ;
- la coopération avec la Cnil en cas de demande de l’autorité de contrôle ;
- l’interface entre votre organisme et toute personne qui souhaite exercer ses droits.
Il doit donc être polyvalent et compétent pour exercer l’ensemble de ces missions.
4. Le DPO doit être indépendant et autonome
Le RGPD dispose qu’un Délégué à la protection des données peut être soit interne à votre organisme, soit externe (comme un avocat). Il doit en tout cas être indépendant vis-à-vis du responsable de traitement et de l’équipe dirigeante de votre organisme, pour éviter tout conflit d’intérêt.
Un salarié peut donc se voir confier des missions de DPO : il devra alors être formé, affecté à l’équipe dirigeante tout en restant indépendant dans son nouveau rôle. La solution la plus simple et la plus sûre reste de nommer un délégué externe, ce qui garantira d’une part un niveau d’expertise avancé en matière de données personnelles mais également une indépendance totale vis-à-vis de votre organisme.
5. Le DPO doit exercer ses missions de manière confidentielle
Votre délégué à la protection des données, surtout s’il est externe, doit respecter la confidentialité des informations mises à sa disposition par votre organisme. Selon le RGPD, le DPO est effectivement soumis au secret professionnel et à une obligation de confidentialité en ce qui concerne l’exercice de ses missions. Vous devez donc vous assurer que la personne recrutée doit répondre à ces exigences.
