Le Règlement général sur la protection des données (RGPD) entré en vigueur en 2018 a découragé de nombreuses entreprises quant à la gestion de la protection des données personnelles. Ce règlement européen applicable à toutes les entités juridiques en France, vise à encadrer le traitement des données personnelles. Il est un gage de la bonne utilisation des données fournies et stockées par les clients, salariés, fournisseurs et partenaires de l’entreprise. Le règlement RGPD fait suite à la loi Informatique et Libertés adoptée en France en 1978.
Le Règlement général sur la protection des données (RGPD) impose aux entreprises de désigner un délégué à la protection des données (dit DPO) qui assurera la mise en conformité de l’entreprise avec les dispositions du Règlement.
Quelle est la mission du délégué à la protection des données ?
Le délégué à la protection des données (DPO) joue un rôle essentiel dans la mise en œuvre du RGPD au sein de l’entreprise. Il n’existe pas de qualification particulière pour être nommé DPO par une entreprise, bien qu’un avocat soit, au regard de sa rigueur et de ses connaissances en matière juridique, le mieux placé pour réaliser un audit de la gestion des données personnelles par une entreprise.
Le rôle du délégué à la protection des données est décrit à l’article 39 du Règlement général sur la protection des données. À ce titre, les missions du délégué à la protection des données sont :
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du règlement et d’autres dispositions du droit de l’Union ou du droit des Etats membres en matière de protection des données ;
- Contrôler le respect du règlement, d’autres dispositions du droit de l’Union ou du droit des Etats membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du Règlement ;
- Coopérer avec l’autorité de contrôle ;
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
Ces missions ne sont pas limitatives et l’article précité indique seulement les missions minimales qui doivent être confiées au Délégué à la protection des données. En résumé, le délégué à la protection des données a pour mission de :
- Cartographier les données sensible et le traitement qui en est fait par les entreprises ;
- Aider l’entreprise et conseiller ses dirigeants à établir des process et des règles internes afin de respecter les règles nationales et européennes en matière de protection des données.
Que doit fournir l’entreprise à son DPO pour assurer la protection des données ?
La question de l’accès du DPO aux données de l’entreprise est toujours un sujet sensible pour les professionnels. Pour autant, le délégué à la protection des données doit bénéficier d’un accès et d’une indépendance suffisante pour mener à bien sa mission et conseiller efficacement l’entreprise.
Avoir recours à un avocat en tant que DPO permet de bénéficier du secret professionnel lié à l’exercice de ses fonctions. Les entreprises y compris les grands groupes n’ont ainsi aucune crainte à avoir quant à la gestion des données qui sera faite par le DPO.
Quelles sont les qualités d’un DPO au sein de l’entreprise ?
Le délégué à la protection des données doit être disponible et communiquer suffisamment avec l’entreprise qu’il conseille. Il doit être dépourvu de tout conflit d’intérêt dans l’exercice de ses fonctions, ce qui renforce la préférence d’avoir recours à un avocat pour exercer ces fonctions. Par ailleurs, le délégué à la protection des données doit bénéficier de connaissances solides en droit interne et droit européen pour exercer ses fonctions.
Comment désigner un DPO au sein de l’entreprise ?
La désignation d’un délégué à la protection des données est facultative dans les entreprises mais reste vivement conseillée au regard des sanctions encourues en cas de violation des dispositions du règlement général sur la protection des données.
Le DPO (data protection officer) désigné par l’entreprise doit être déclaré à la CNIL via ce lien. L’entreprise devra indiquer le numéro SIREN du DPO ainsi que ses coordonnées, remplir ses informations et les modes de contact de ce dernier. La désignation est donc très simple officiellement.
Suite à sa nomination en tant que DPO, le délégué à la protection des données doit mettre en place avec la direction de l’entreprise un plan d’action afin de réaliser son audit dans les meilleures conditions. L’accès le plus large aux données de l’entreprise doit ainsi lui être laissé à disposition afin qu’il puisse mener à bien sa mission.
Le fait de désigner un avocat en tant que DPO dans une entreprise permet d’avoir la garantie d’être couvert par le secret professionnel dans le cadre de cette mission, puisque le DPO a accès à des données sensibles.
Cliquez ici si vous souhaitez me désigner en tant que DPO pour votre entreprise et sécuriser votre situation juridique au regard des lois internes et européennes en matière de protection des données personnelles.