Lexique > Délégué à la protection des données (Data Protection Officer)

Lexique IT

Délégué à la protection des données (Data Protection Officer)

Le délégué à la protection des données est au cœur du cadre de conformité consacré par le RGPD et facilite la conformité des organismes à ses dispositions.

Il est l’une des pierres angulaires du régime de responsabilité du responsable du traitement et du sous-traitant, et constitue un avantage concurrentiel en favorisant le respect du RGPD et en agissant comme intermédiaires entre les acteurs concernés (autorités de contrôle, personnes concernées, sous-traitants…).

Sa désignation est obligatoire lorsque :

Même lorsque le RGPD n’exige pas spécifiquement la désignation d’un DPO, les organismes sont encouragés à en désigner un sur une base volontaire, en particulier lorsqu’ils rencontrent des problématiques relatives à la protection des données personnelles.

Le DPO doit être un professionnel justifiant d’une expertise juridique en matière de protection des données, être capable d’exercer sa fonction en toute indépendance, ainsi que de disposer d’une autonomie et de ressources suffisantes pour s’acquitter efficacement de ses missions.

Dédié ou mutualisé, le DPO peut être interne à l’organisme, mais également externe.

Le responsable de traitement ou le sous-traitant se doit de communiquer les coordonnées du DPO à la CNIL et aux personnes concernées au titre de leur droit à l’information.

Dans l’exercice de ses missions, le DPO reste soumis au secret professionnel et respecte un devoir de confidentialité.

Concernant ses missions, le DPO peut notamment être en charge :

  • D’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données ;
  • De contrôler le respect du RGPD, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • De dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • De coopérer avec l’autorité de contrôle ;
  • De faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement des données.

Point RGPD

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ».

Article 37, paragraphe 5 du RGPD

Point jurisprudence

L’autorité de protection des données espagnole a sanctionné la société GLOVO APP 23 S.L. pour ne pas avoir désigné de délégué à la protection des données auprès de l’autorité de contrôle.

Agencia Española de Protección de Datos, 9 juin 2020, N°PS/00417/2019

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.