Mieux comprendre le rôle du « Data Protection Officer »

Dans le cadre du Règlement Général sur la Protection des Données (RGPD), les organisations publiques et certaines entreprises devront nommer un Data Protection Officer (DPO).

Dans le cadre du Règlement Général sur la Protection des Données (RGPD), les
organisations publiques et certaines entreprises devront nommer un Data Protection
Officer (DPO). Son rôle sera principalement de veiller à la protection des données
à caractère personnel traitées au sein de l’entreprise, de manière indépendante, en conformité avec le règlement. La fonction peut éventuellement être externalisée. Évocation des enjeux de cette nouvelle fonction avec Mélanie Gagnon, CEO et fondatrice de MGSI, société de services spécialisée dans l’accompagnement des entreprises vis-à-vis des enjeux de gestion et de protection des données à caractère personnel.

Le RGPD  octroie de nombreux nouveaux droits aux citoyens et introduit une quantité de nouvelles exigences pour les entreprises amenées à traiter des données à caractère personnel. Parmi ces nouvelles exigences, pour certaines organisations, l’obligation de nommer un Data
Protection Officer (DPO).

Quels sont le rôle et les missions du DPO ?

«Le RGPD place celui qui, par le passé, était désigné chargé à la protection
des données au cœur de l’organigramme, en lui donnant une fonction, une mission et des
obligations, commente Mélanie Gagnon, CEO et fondatrice de MGSI. Son rôle sera
d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les
employés qui procèdent au traitement en leur précisant les obligations qui leur incombent à l’égard de la protection des données. Il doit aussi contrôler le respect des dispositions réglementaires et les  procédures internes mises en place en matière de traitement et de protection des données à caractère personnel. » A lui de sensibiliser, de rappeler les responsabilités de chacun, de former le personnel, de mener les audits. «En outre, c’est lui qui sera amené à coopérer avec l’autorité de contrôle », poursuit Mélanie Gagnon.

Est-on obligé de nommer un DPO ?

Toutes les entreprises ne doivent pas nommer un DPO. Pour savoir si, oui ou non, une
organisation doit mettre en place cette fonction, une série de critères sont définis dans le
règlement. Toute autorité publique ou organisme public doit en désigner un. Pour cette
catégorie d’organisation, c’est simple. Pour ceux qui n’en relèvent pas, d’autres critères sont
à prendre en considération.

Il faudra nommer un DPO si :
– les activités de base du responsable de traitement ou du sous-traitant consistent en
des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

– les activités de base du responsable du traitement ou du sous-traitant consistent en
un traitement à grande échelle de catégories particulières, considérées comme ayant
un caractère sensible, ou de données relatives à des condamnations pénales ou des
infractions.

«Le règlement ne définit pas certaines notions, comme la notion de grande échelle ou celle de suivi régulier. Toutefois, pour aider les organisations à se
mettre en conformité, «Groupe de travail « Article 29 » sur la protection des données a émis des lignes directrices concernant le DPO». Selon ce groupe de travail, il n’est pas possible de donner un chiffre précis que ce soit pour la quantité de données traitées ou le nombre d’individus concernés qui soit applicable dans toutes les situations, poursuit Mélanie Gagnon. Dans beaucoup de cas de figure, il faudra bien évaluer la situation afin de prendre les bonnes décisions, en étant bien conseillé, pour ne pas s’exposer à des risques conséquents. »

Lire l’article