Un Délégué à la Protection des Données (DPD), ou DPO pour Data Privacy Officer, est la personne de référence d’une entreprise pour toutes les questions relatives aux données à caractère personnel. Elle peut être une personne salariée de l’entreprise ou une personne extérieure à l’entreprise.

Un DPD/DPO a pour missions de :

  • participer aux discussions relatives à la protection des données à caractère personnel[1] ;
  • informer et conseiller l’entreprise sur les obligations légales liées au traitement de données à caractère personnel[2] ;
  • contrôler le respect du RGPD[3] et des autres textes légaux[4] ;
  • assister la réalisation d’éventuelles analyses d’impacts des traitements actuels ou futurs sur les données à caractère personnel[5] ;
  • faire le lien avec les autorités de contrôle[6], c’est-à-dire la CNIL pour la France.
  • répondre aux demandes des utilisateurs, notamment à l’exercice de leurs droits[7] ;

Compte tenu des tâches qui lui sont attribuées, un DPD a une connaissance de la législation, des connaissances en matière de traitement de données personnelles et une bonne compréhension du système d’information de l’entreprise[8].

« Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. »

— RGPD, considérant 97

Un DPD exerce ses missions en toute indépendance, avec l’assurance de ne pas être pénalisé pour les décisions prises, et traite directement avec les dirigeants de l’entreprise pour s’assurer que ses travaux soient pris en compte[9].

Il est aussi important de préciser qu’un DPD a une obligation de confidentialité[10] et qu’il n’est pas personnellement responsable en cas de manquements au RGPD de l’entreprise[11]. La responsabilité reste la charge de l’entreprise.

Un DPD doit être obligatoirement nommé que dans certains cas précis[12].

Notes et références

  1. Le RGPD demande que le Délégué à la Protection des Données « soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (source : RGPD, article 38-1).
  2. Le RGPD demande que le Délégué à la Protection des Données « informe et conseille le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données » (source : RGPD, article 39-1-a).
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. Le RGPD demande que le Délégué à la Protection des Données « contrôle le respect du [RGPD], du droit de l’Union ou du droit des États membres en matière de protection des données » (source : RGPD, article 39-1-b).
  5. Le RGPD demande que le Délégué à la Protection des Données « dispense des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 » (source : RGPD, article 39-1-c).
  6. Le RGPD demande que le Délégué à la Protection des Données « [fait] office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement » (source : RGPD, article 39-1-e).
  7. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  8. Le RGPD demande que le Délégué à la Protection des Données soit « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (source: RGPD, article 37-5).
  9. Le RGPD demande que le DPD « ne reçoive aucune instruction en ce qui concerne l’exercice des missions », qu’il « ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions » et qu’il « fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. » (source : RGPD, article 38-1).
  10. Le RGPD exige que le DPD soit « soumis au secret professionnel ou à une obligation de confidentialité » (source : RGPD: article 38-5).
  11. Le RGPD indique que « le responsable du traitement met[te] en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. » (source: article 24-1). L’entreprise reste donc seule responsable.
  12. Le RGPD demande la nomination d’un Délégué à la Protection des Données uniquement dans certains cas. Voir « Faut-il obligatoirement nommer un Délégué à la Protection des Données ? ».