Avec l’ entrée en vigueur, le 25 mai 2018, du règlement général sur la protection des données (RGPD, règlement 2016/679 du 27 avril 2016, JO 119/1), le rôle du délégué à la protection des données (DPO) a été mis en exergue.
Anciens rôles du DPO
Avec son adoption en 1996, la directive 95/46 / CE sur la protection des données à caractère personnel visait à instaurer un esprit de conformité en matière de confidentialité et de données à caractère personnel dans tous les États membres. Dans la directive, le DPO était déjà bien établi dans son rôle, mais devait encore se doter d’un portefeuille et de tâches assez importants dans les entreprises. Parallèlement, le règlement (CE) n ° 45/2001, qui s’applique aux institutions, organes et agences de l’UE dans le domaine de la protection des données, a en réalité fourni plus de pratique et une plus grande visibilité au rôle du DPO. Cela s’est fait notamment grâce à son rôle de contrôleur européen de la protection des données (CEPD), une institution européenne dédiée dans le domaine de la protection des données qui est devenue un acteur clé au fil des années dans le cadre du RGPD. Au niveau national, le DPO était plutôt perçu comme un simple agent de liaison entre une entreprise et l’autorité de protection des données locale. Le RGPD ne place plus le DPO en tant qu’agent de liaison, mais en tant que seul expert en la matière.
Un statut particulier au sein de votre entreprise
Si nous parcourons rapidement le RGPD, nous pouvons compter environ 30 fois le terme «responsable de la protection des données», réparti dans les considérants, les chapitres, les titres et les dispositions effectives. Bien que la section 4 ( articles 37 à 39 du règlement 2016/679) traite réellement de la désignation, de la nature et des tâches du DPO, ce rôle est également présent dans des outils tels que le registre ( art. 30 ) ou l’évaluation de l’impact sur la protection des données (DPIA, Art.39 – la méthodologie de l’évaluation d’impact sur la protection des données fera l’objet d’un article distinct). Il est également présent dans d’autres sections telles que les considérants 77 et 97. Le considérant 97 a trait, par exemple, à l’indépendance du DPO. Tout ce qui précède signifie qu’un DPO rgpd comme https://dpo-consulting.fr/ est votre conseiller de confiance pour toutes les questions relatives à la confidentialité et à la protection des données, en particulier si votre activité principale est basée sur le traitement de données à caractère personnel, telles que les opérations bancaires, les assurances, les services de santé ou les technologies de l’information. Le délégué à la protection des données pourra non seulement vous conseiller en tant qu’avocat sur des questions spécifiques, mais il pourra également vous conseiller avant la mise en œuvre d’un traitement de données.
Compétences et expertises du DPO : un guichet unique
Le DPO peut être considéré comme un guichet unique. Dans les plus grandes entreprises, le DPO est plus susceptible de posséder une solide base juridique, mais la fonction ne repose pas entièrement sur cette compétence. En effet, la diversité des techniques d’évaluation du RGPD indique qu’il est nécessaire d’avoir une personne morale ayant l’esprit d’un auditeur (ou inversement), possédant de solides compétences en communication et une compréhension des évolutions en matière de sécurité informatique. Des techniques d’audit et de consultation seront nécessaires car le DPO est impliqué dans les évaluations du traitement des données, telles que le DPIA. Dans ce domaine, la planification, l’analyse et le suivi feront partie de ces compétences importantes.
En outre, la tâche du DPO est de maintenir un niveau suffisant de sensibilisation à la sécurité des données au sein de l’entreprise ( article 39.1.b du règlement 2016/679). On pourrait soutenir que plus l’entreprise dépend des données personnelles, plus la sensibilisation devient vitale. Les compétences en communication seront aussi importantes que le conseil. En informant, éduquant et partageant sur la protection des données, le DPO cherche à réduire les actes répréhensibles impliquant des données à caractère personnel.