Javascript is required
logo-dastralogo-dastra

Devenir délégué à la protection des données

Devenir délégué à la protection des données
Marine Boquien
Marine Boquien
13 janvier 2025·10 minutes de lecture

Qu'est-ce qu'un DPO ?

Le Délégué à la Protection des Données (DPO) joue un rôle central dans l’accompagnement des organismes pour garantir leur conformité à la réglementation sur la protection des données personnelles, notamment le RGPD.

Son rôle principal est de veiller au respect par l'organisme des règles encadrant le traitement des données personnelles. Le DPO agit également comme interlocuteur privilégié entre l'organisme, l'autorité de de contrôle et les individus concernés par les traitements de leurs données personnelles (appelés les "personnes concernées").

Le DPO conseille l’organisme sur la manière dont traiter les données personnelles en conformité avec la réglementation applicable en matière de protection des données personnelles dans une démarche éthique et responsable, tout en s’assurant que les droits des personnes concernées soient protégés.

Les différents types de DPO

On distingue 3 catégories de Délégué à la protection des données (DPO) :

  • Le DPO interne : salarié d’un seul organisme.
  • Le DPO interne mutualisé : il intervient auprès de plusieurs organismes responsables de traitement et parfois dans des secteurs différents.
  • Le DPO externe : un professionnel indépendant ou salarié par une société spécialisée (par exemple, un cabinet de conseil, un cabinet d’avocats ou un prestataire numérique).

Quelles sont les missions du délégué à la protection des données (DPO) ?

Véritable « chef d’orchestre » de la conformité en matière de protection des données, le DPO joue un rôle clé au sein de l’organisme qui l’a désigné.

Ses missions principales sont les suivantes :

  • Informer et conseiller : Il accompagne et guide le responsable de traitement, le sous-traitant et leurs employés sur leurs obligations et le respect des règles en matière de protection des données.

  • Vérifier la conformité de l'organisme : Il s’assure du respect du RGPD et plus généralement du respect de la règlementation applicable en matière de protection des données personnelles par l'organisme qui l'a désigné.

  • Conseiller sur les analyses d’impact : Il guide l’organisme dans la réalisation des analyses d’impact relatives à la protection des données (PIA) et veille à leur bonne exécution. Il est aussi chargée de leur mise à jour.

  • Coopérer avec les autorités de contrôle : Il est l’interlocuteur privilégié de ces autorités et facilite leur collaboration avec l’organisme.

  • Être un point de contact pour les personnes concernées : Il répond aux questions ou préoccupations des individus dont les données sont traitées. C'est aussi lui qui gère en pratique le processus de traitement des demandes de droit des personnes concernées.

  • Le DPO a également pour mission la gestion du registre des activités de traitement de l'organisme (création et mise à jour des fiches de traitements réalisés par l'organisme).

Enfin, il est important de noter que le DPO n’est pas personnellement responsable en cas de non-conformité de l’organisme avec la réglementation applicable en matière de protection des données personnelles.

Le DPO doit être à même de réaliser ses missions en collaboration avec les opérationnels des différents services de l'organisme impliqués dans les traitements de données personnelles.

Qui peut être désigné comme délégué à la protection des données ?

Compétences et connaissances requises

Le DPO est choisi sur la base de ses qualités professionnelles, notamment :

  • Ses connaissances spécialisées en matière de droit et de pratiques liées à la protection des données personnelles ;
  • Sa capacité à accomplir ses missions, conformément à l’article 37.5 du RGPD.

Qualités et compétences essentielles

La personne désignée comme DPO doit posséder les aptitudes et compétences suivantes :

  1. Capacité à communiquer efficacement avec les opréationnels de l'organisme et à exercer ses fonctions avec indépendance ;
  2. Absence de conflit d’intérêts : le DPO ne doit pas occuper de fonctions qui l'amènent à déterminer les finalités et les moyens des traitements de données, afin d'éviter toute situation de « juge et partie » ;
  3. Expertise en législations et pratiques relatives à la protection des données personnelles, acquise notamment grâce à une formation continue. Ce niveau d'expertise doit être proportionné aux activités de l’organisme et à la sensibilité des traitements réalisés ;
  4. Bonne connaissance du secteur d’activité et de la structure de l’organisme, incluant les systèmes d’information, les opérations de traitement et les besoins spécifiques en matière de protection et de sécurité des données ;

Le DPO doit être placé dans une position stratégique dans l'organisme et il doit bénéficier d'un budget pour réaliser correctement et efficacement ses missions. Le DPO doit avoir les moyens de faire directement rapport à la direction, d’animer un réseau de relais internes (par exemple, dans les filiales d’un groupe) et/ou de coordonner une équipe d’experts pluridisciplinaires (juristes, informaticiens, experts en communication, traducteurs, etc.). Ces garanties doivent être fournies par l'organisme responsable de traitement.

Pas de profil unique

Il n’existe pas de profil type pour un DPO. Une étude menée en 2020 révèle que :

  • Environ 28 % des DPO ont un profil informatique ;
  • 28 % disposent d’un profil juridique ;
  • Les 43 % restants sont issus d’autres domaines tels que l’administration, la finance, la conformité ou l’audit.

Le choix du DPO dépend donc des besoins spécifiques de l’organisme et de la nature des traitements effectués.

Quels sont les moyens d’action du DPO ?

Pour accomplir efficacement ses missions, le DPO doit bénéficier du soutien actif de l’organisme qui l’a désigné. Cela implique plusieurs engagements :

  • Implication dans les questions de protection des données : l’organisme doit intégrer le DPO en amont de tout nouveaux projets et dans toutes les décisions liées à la protection des données. ll est important de communiquer clairement en interne et en externe sur sa désignation et de fournir aux salariés de l'organisme un moyen de contacter le DPO.
  • Mise à disposition des ressources nécessaires : le DPO doit disposer des moyens adéquats pour mener à bien ses tâches, comme des formations continues en lien avec son métier, du temps, un budget adapté et, si besoin, une équipe dédiée.
  • Indépendance dans l’exercice de ses fonctions : le DPO doit pouvoir agir sans interférence, avec un positionnement hiérarchique approprié et sans risquer de sanctions pour les décisions ou recommandations prises dans le cadre de ses missions.
  • Accès aux données et aux opérations de traitement : le DPO doit avoir un accès facilité aux informations nécessaires à la compréhension, au resencement, à la mise à jour et au contrôle de la conformité des traitements.
  • Absence de conflit d’intérêts : l’organisme doit veiller à ce que les missions ou fonctions du DPO ne créent pas de conflits d’intérêts au sein de l'organisme.

Ces moyens d’action doivent être adaptés à la taille, à la structure et à l’activité de l’organisme, comme précisé par le Comité Européen de la Protection des Données (CEPD) dans ses divers rapports portant sur le métier du DPO et dans ses lignes directrices adoptées le 13 décembre 2016 et révisées le 5 avril 2017.

Quel est le statut et la responsabilité du DPO ?

Le DPO dispose d’un statut qui garantit son indépendance et son impartialité, mais sa responsabilité en matière de conformité est limitée.

Responsabilité du DPO

Selon les lignes directrices du CEPD, le DPO n’est pas personnellement responsable en cas de non-respect des dispositions du RGPD. La responsabilité incombe au responsable de traitement (RT) ou au sous-traitant (ST), qui doivent démontrer que leurs traitements respectent la réglementation (article 24.1 du RGPD).

  • Le DPO ne peut pas se voir transférer cette responsabilité, car cela impliquerait un pouvoir décisionnel sur la finalité et les moyens du traitement, créant ainsi un conflit d’intérêts.

Protection du DPO

Le DPO bénéficie de garanties spécifiques pour exercer ses fonctions en toute indépendance :

  • Il ne peut être sanctionné, pénalisé ou relevé de ses fonctions pour l’exercice de son rôle, même en cas de désaccord avec le responsable de traitement (par exemple, lorsqu’il recommande une analyse d’impact).
  • Les sanctions indirectes (comme le blocage d’une promotion ou des menaces visant à entraver sa carrière) sont également interdites.
  • Toutefois, le DPO n’est pas un salarié protégé au sens du Code du travail français. Il peut donc être licencié ou sanctionné pour des motifs sans lien avec ses fonctions (ex. faute grave, harcèlement).

Localisation du DPO

Pour garantir son accessibilité et l'effacité de ses actions, il est recommandé que le DPO soit basé dans un État membre de l’Union européenne.

Coopération avec l’autorité de contrôle

Le DPO agit comme point de contact pour l’autorité de protection des données. Ses missions incluent :

  • De faciliter l’accès de l’autorité aux documents et informations nécessaires (ex. gestion d’une plainte, audit ou contrôle).
  • Répondre à ses demandes et, si besoin, solliciter son conseil.

L’obligation de confidentialité du DPO ne doit pas l’empêcher de coopérer pleinement avec l’autorité de contrôle compétente.

En résumé, le DPO occupe une fonction stratégique, alliant indépendance et devoir de conseil, tout en bénéficiant d’une protection spécifique pour garantir l’intégrité et l'efficacité de ses missions.

Comment organiser la prise de fonction du délégué à la protection des données ?

Pour garantir une prise de fonction efficace du DPO, plusieurs étapes et mesures sont recommandées :

1. Assurer une formation adaptée

Il est essentiel que le DPO dispose des compétences exigées par l’article 37.4 du RGPD. Cela inclut une formation continue sur la protection des données personnelles et sur la règlementation applicable.

2. Se familiariser avec la réglementation

Le DPO doit s’approprier les obligations imposées par le RGPD et s’appuyer sur les diverses lignes directrices du Comité Européen de la Protection des Données (CEPD).

3. Missions à confier au DPO

Le DPO est chargé de :

  • Réaliser un inventaire des traitements de données : identifier les traitements mis en œuvre par l’organisme.
  • Évaluer les pratiques et établir des procédures : exemple : réaliser des audits, intégrer la protection des données tout au long d'un nouveau projet ou d'un projet existant (privacy by design et by default), gérer les violations de données, et traiter les demandes de droit.
  • Identifier les risques : analyser les risques associés aux opérations de traitement.
  • Élaborer des politique de protection des données personnelles pour répondre aux obligations d'information et de transparence.
  • Sensibiliser les parties prenantes : informer et former les opérationnels et la direction sur leurs nouvelles obligations.

En suivant ces étapes, l’organisme peut assurer une fluidité dans la prise de fonction du DPO et une efficacité des missions de ce dernier tout en renforçant sa conformité avec le RGPD.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.