Définitions de références sur le métier
Définition DPO (explication du terme anglais et français)
En français, le DPD désigne le Délégué à la protection des données, en anglais, il s’agit du DPO pour Data Protection Officer.
Ce dernier est le terme le plus répandu encore aujourd’hui. Cependant, en France, l’usage du terme DPD commence à se répandre de plus en plus.
Le règlement est, quant à lui, déjà dans les usages, nommé en France le plus souvent par son sigle « RGPD » (Règlement général sur la protection des données) et non par son équivalent anglais « GDPR » (General Data Protection Regulation).
La fonction du DPO (selon les textes officiels, RGPD, CNIL, CEPD)
La fonction du délégué à la protection des données lui permet d’être associé à toutes les questions transverses de l’organisme ayant trait aux données à caractère personnel.
Il est donc en capacité à prendre connaissance de beaucoup d’informations confidentielles relatives aux différents métiers de l’organisme, c’est pourquoi il est soumis au secret professionnel ou à une obligation de confidentialité dès sa prise de fonction.
La fonction est accessible à tous, à partir du moment où la personne possède les compétences nécessaires à la réalisation des missions attendues.
Aucun diplôme spécifique n’est exigé dans le règlement du RGPD pour le DPO/DPD.
Le CEPD (Centre européen de la protection des données) donne des exemples des activités auxquelles devrait être associé le DPO dans l’organisme :
« Par conséquent, l’organisme devrait veiller, par exemple, à ce que :
-
le DPD soit invité à participer régulièrement aux réunions de l’encadrement supérieur et intermédiaire ;
-
sa présence soit recommandée lorsque...
La désignation du délégué à la protection des données (selon les textes officiels)
La désignation d’un délégué à la protection des données n’est obligatoire que dans certains cas, mais reste recommandée pour tout organisme qui collecte et traite des données à caractère personnel.
Selon l’article 37 du RGPD :
« Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
-
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
-
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou ;
-
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère...
Les missions (selon les textes officiels)
Les missions du délégué à la protection des données sont détaillées à l’article 39 du RGPD et portent essentiellement autour des axes suivants :
Informer
Le DPO/DPD informe au sein de l’organisme qu’il accompagne, aussi bien le responsable de traitement (ou sous-traitant) que les employés, des obligations qui leur incombent au regard du RGPD.
Pour ce faire, le DPO doit mettre en place une veille sur les sujets autour de la protection des données à caractère personnel et sur la sécurité des systèmes d’information, tant au niveau juridique qu’au niveau technique, sociétal, sectoriel…
Contrôler le respect du RGPD
Le DPO/DPD doit, en plus d’informer et conseiller, vérifier que le responsable de traitement (ou sous-traitant) respecte bien les obligations auxquelles il est soumis. À ce titre, il contrôle le respect du règlement et du droit national en matière de protection des données. Cela passe par des opérations de contrôle, voire d’audit au regard non seulement du RGPD mais des différentes dispositions réglementaires ou légales y compris les règles internes de l’organisme, en matière de protection des données à caractère personnel.
Conseiller...
Les définitions en termes de fiche métier (registre des métiers, référentiels de certification…)
Comme précisé précédemment aucun diplôme spécifique n’est demandé pour un DPO au regard du RGPD même si, dans la pratique en France, en particulier pour des DPO externes, il est de plus en plus demandé par les responsables de traitements que la personne dispose d’une certification reconnue par l’autorité de contrôle.
1. Registre des métiers
Le code ROME auquel est rattaché le métier de délégué à la protection des données est le K1903 correspondant aux emplois de « Défense et conseil juridique », parmi lesquels on retrouve le DPO, les juristes et les avocats.
Les attendus en termes de compétences vont donc au-delà de ce qui est nécessaire pour un délégué (cf. liste des savoir-faire ci-après). En d’autres termes, les attendus du code ROME vont au-delà des spécificités du métier de délégué à la protection des données puisqu’ils décrivent les attendus de deux autres métiers du droit.
Savoir-faire |
|
Gestion administrative |
Accomplir les démarches pour le compte de clients |
Droit, contentieux et négociation |
Appliquer un cadre juridique ou réglementaire Veiller à la sécurité juridique de l’entreprise Veiller au respect de la loi Informatique et Libertés et du RGPD dans l’entreprise, gérer la liste des traitements de données à caractère personnel, faire l’interface avec la Commission Nationale de l’Informatique et des Libertés - CNIL Rédiger des actes /procédures juridiques Traiter des actes de procédures Apporter des conseils sur des procédures de résolution en ligne Traiter des dossiers de contentieux Constituer des dossiers de plaidoirie Défendre les intérêts d’une personne physique ou morale Défendre les intérêts d’une entreprise lors d’opérations financières et juridiques Négocier un contrat Arrêter les termes d’un contrat |
Animation |
Sensibiliser un public à une réglementation... |
Le rôle du DPO au regard des livrables de la mise en conformité
Dans le cadre de la mise en conformité d’un organisme au règlement général de la protection des données, un certain nombre de livrables sont à réaliser sous la responsabilité du responsable de traitement ou du sous-traitant.
Pour mémoire, les principaux livrables sont :
-
Le Registre des activités de traitements de l’organisme,
-
Le Registre des demandes d’exercice des droits des personnes,
-
Le Registre des notifications de violations de données à caractère personnel,
-
La Politique de protection des données,
-
Les procédures principales telles que :
-
la procédure de gestion des droits des personnes concernées,
-
la procédure de gestion des notifications de violations de données,
-
la procédure de durées de conservation des données,
-
la procédure de “Privacy by Design, by default”,
-
la procédure d’accompagnement d’un contrôle CNIL,
-
la procédure d’alerte du responsable de traitement,
-
…
-
D’autres procédures peuvent être rédigées, le DPO participe à la rédaction de ces procédures au regard de son expertise sur les différents sujets.
Des analyses de risques (PIA ou AIPD) sont à réaliser pour les traitements éligibles.
Elles pourront également faire l’objet d’une procédure pour décrire les critères et les conditions dans lesquelles elles doivent se faire.
Le DPO répond également aux sollicitations sur toutes les questions qu’il peut recevoir concernant la protection des données à caractère personnel via la messagerie du DPO mise à sa disposition par le responsable de traitement ou sous-traitant.
D’une manière générale, le DPO prodigue des conseils auprès du responsable de traitement ou du sous-traitant de l’organisme qu’il accompagne et doit être étroitement associé aux différentes tâches autour des livrables de la mise en conformité.
Dans la pratique, concernant les livrables cités précédemment, ce sont souvent les DPO qui les rédigent et les font valider par le responsable...