Délégué à la protection des données
Sommaire
La profession de délégué à la protection des données (DPO) est indispensable à toutes les structures privées comme publiques. Le rôle du professionnel est de s’assurer du bon traitement des données à caractère personnel circulant dans l’entreprise, ainsi que de leur conformité avec les règles du RGPD. Ces règles sont régulièrement remises à jour lors des réunions du G29 : les représentants européens de la CNIL.
Qu’est-ce qu’un délégué à la protection des données ?
Le délégué à la protection des données est un expert du traitement des données et de leur conformité avec les règles officielles. On l’appelle aussi DPO.
Ces règles sont inscrites dans le Règlement général sur la protection des données (RGPD). Elles sont régulièrement mises à jour par la G29 : les différents représentants européens de la CNIL (Commission nationale de l’informatique et des libertés).
Quel est son rôle ?
Le DPO peut-être externe à l’entreprise. Il intervient alors en tant que consultant, en procédant à des missions plus ou moins longues. Dans ce cas, il peut travailler pour différentes entités à la fois. Cependant, il peut également être interne à l’entreprise, généralement, dans de plus grosses structures.
Sa présence est obligatoire dans certaines structures :
- organismes et autorités publiques
- entreprises concernées par un traitement massif de données personnelles
- entités dont l’activité principale est de traiter des données sensibles
Comment devenir DPO ?
Pour devenir délégué à la protection des données, il faut qu’il connaisse les différentes mesures imposées par le RGPD. Le DPO doit donc réunir des connaissances et des qualifications professionnelles pour faire ce métier.
Généralement les délégués ont déjà exercés en tant que CIL (correspondant informatique et libertés) auparavant. Cette première expérience leur confère les bases et les savoirs nécessaires à l’exercice de cette profession.
Quelles sont les missions du délégué à la protection des données ?
Le délégué à la protection des données a plusieurs missions phares. Tout d’abord, c’est à lui de veiller à la conformité du traitement des données avec le Règlement général sur la protection des données (RGPD). Il intervient généralement en tant que conseiller au sein des structures qui font appel à son expertise.
Le DPO doit aussi connaître les mesures en vigueur développées dans le RGPD et par le G29. Il est impératif qu’il se mette à jour très régulièrement. Pour cela, il peut participer aux différentes journées d’information et de formation organisées par la Commission nationale de l’informatique et des libertés (CNIL).
Ainsi, il intervient pour vérifier la conformité au règlement. En sa qualité de délégué il peut :
- procéder à un bilan global de vérification du traitement des données et de leurs adéquations avec les mesures référencées dans le RGPD,
- proposer de nouvelles pratiques pour améliorer cette conformité,
- communiquer les résultats aux hauts responsables pour mener à bien de nouvelles actions.
À la différence du responsable de traitement (et du sous-traitant), le délégué n’engage pas sa responsabilité en cas de problèmes relatifs au non-respect de la réglementation du RGPD. Ce professionnel a donc plus un rôle de conseiller que de décisionnaire.
La synthèse de Julien Dupé
(CEO et Fondateur de Infonet.fr)Le délégué à la protection des données, aussi connu sous le nom de DPO, est un professionnel du traitement des données. Externe ou interne à une structure, il apporte son expertise quant à la conformité du traitement des données avec les mesures prévues par le RGPD.
Autres définitions de la catégorie Protection des données
- Analyse d'impact à la protection des données
- Anonymisation
- Certification données personnelles
- Cloud Act
- Code de conduite
- Comité européen de la protection des données
- Commission nationale de l’informatique et des libertés
- Consentement
- Donnée personnelle
- Données sensibles
- Entreprise non diffusible
- G29
- Hadopi
- Libre circulation des données à caractère personnel
- Portabilité des données
- Pseudonymisation
- Responsable de traitement des données
- Règlement général sur la protection des données