Un Délégué à la Protection des Données (DPD), ou DPO pour Data Privacy Officer, est la personne de référence d'une entreprise pour toutes les questions relatives aux données à caractère personnel. Elle peut être une personne salariée de l'entreprise ou une personne extérieure à l'entreprise.

Un DPD/DPO a pour missions de :

  • contrôler le respect des textes légaux, notamment le RGPD1 ;
  • informer et conseiller l'entreprise et ses salariées sur les obligations légales liées au traitement de données à caractère personnel ;
  • répondre aux demandes des utilisateurs, notamment à l'exercice de leurs droits ;
  • faire le lien avec les autorités de contrôle, c'est-à-dire la CNIL pour la France.

Compte tenu des tâches qui lui sont attribuées, un DPO a une connaissance de la législation, des connaissances en matière de traitement de données personnelles et une bonne compréhension du système d'information de l'entreprise :

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39. »

— Article 37-5 du RGPD, Désignation du délégué à la protection des données

Un DPO exerce ses missions en toute indépendance, avec l'assurance de ne pas être pénalisé pour les décisions prises, et traite directement avec les dirigeants de l'entreprise pour s'assurer que ses travaux soient pris en compte :

« Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. »

— Article 38-3 du RGPD, Fonction du délégué à la protection des données

Il est aussi important de préciser qu'un DPO à une obligation de confidentialité :

« Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres. »

— Article 38-5 du RGPD, Fonction du délégué à la protection des données

Enfin, et non des moindres, un Délégué à la Protection des Données n'est pas personnellement responsable en cas de manquements au RPGD de l'entreprise. La responsabilité reste la charge de l'entreprise :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

— Article 24 du RGPD, Obligations générales, Responsabilité du responsable du traitement

Un DPO doit être obligatoirement nommé que dans certains cas précis, mais il est préférable d'en nommer un lorsque des données à caractère personnel sont traitées.

Notes et références

  1. RGPD : Règlement Général de Protection des Données.