🧑‍💼 Le DPO – Rôle et mission
🎯 Qu’est-ce qu’un DPO ?
Le Délégué à la Protection des Données (DPO) est un interlocuteur de confiance, désigné pour veiller à la conformité de l’organisation au RGPD et aux règles relatives à la vie privée.
Le DPO n’est ni un contrôleur, ni un informaticien, mais agit comme référent indépendant pour :
- informer et conseiller sur les bonnes pratiques,
- alerter en cas de risque,
- structurer la documentation réglementaire,
- faciliter l’exercice des droits des utilisateurs,
- et faire le lien avec la CNIL en cas de besoin.
đź§Â Ce que prĂ©voit la loi (articles 37 Ă 39 du RGPD)
Le DPO est chargé de :
- Informer et conseiller le responsable du traitement (la direction) et les Ă©quipes ;
- Contrôler le respect du RGPD et des règles internes ;
- Donner un avis sur les analyses d’impact (AIPD) et en surveiller la réalisation ;
- Coopérer avec la CNIL, si nécessaire ;
- Être le point de contact pour les personnes concernées (utilisateurs, clients…).
Le DPO ne traite pas les données lui-même, n’a pas à accéder aux données nominatives, sauf si cela est nécessaire à l’analyse de conformité.
<aside>
<img src="/icons/shuffle_orange.svg" alt="/icons/shuffle_orange.svg" width="40px" />
Les particularités :
- L’article 30 du RGPD précise que c’est le responsable de traitements qui doit tenir le registre des traitements. Dans la pratique, le DPO prend en charge cette tâche de tenir à jour le registre des traitements, car c’est un outil de pilotage indispensable à l’exercice de sa mission.
- Les instructions de demandes d’exercice de droits d’accès relèvent de la responsabilité du Responsable de traitement ou de la personne désignée en interne et en charge des opérations de traitement. Le DPO s’attache à vérifier qu’une procédure permet d’y répondre en toute conformité, il peut assister la personne en charge dans l’instruction des réponses particulières.
- Le DPO doit être informé des incidents impliquant des données à caractère personnel. Il évalue en collaboration avec les parties prenantes les risques sur la vie privée et détermine la nécessité de notifier à l’autorité de contrôle et aux personnes concernées. C’est le responsable de traitement qui prend la décision de notifier. Dans la pratique, le DPO peut réaliser la télé-déclaration selon les instructions du responsable de traitement.
</aside>