Piloter la conformité : le DPO (Data protection officer)

Le RGPD a prévu la désignation d’un DPO au coeur du nouveau cadre juridique européen. Sa mission : conseiller et accompagner les entreprises dans leur conformité. 

Explications et précisions sur le rôle du DPO, pour mieux piloter sa mise en conformité avec le RGPD.

 

Dans quel cas la désignation d'un DPO s'impose-t-elle ?

L’entreprise a l’obligation de désigner un DPO dans les cas suivants :

• Organismes publics (État, collectivités territoriales, établissements publics, etc.) 

• Traitement en masse et suivi régulier et systématique (entreprise chargée de la surveillance de lieux publics, collecte de données de géolocalisation, etc.)

• Traitement des données sensibles en masse ou encore des données personnelles relatives à des condamnations pénales et à certaines infractions.

Dans ces 3 cas, l’absence de désignation d’un DPO peut être sanctionnée par de lourdes amendes administratives (jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% de son chiffre d’affaires annuel mondial). La désignation d’un DPO à titre facultatif est bien entendu possible - et fortement encouragée par la CNIL. La présence d’un DPO permet à l’entreprise de s’assurer que les règles de protection instituées par le RGPD sont bien comprises et respectées. Cela permet également aux clients d’être rassurés sur la prise en compte des impératifs de protection et de bonne gestion de leurs données personnelles.

Principales missions du DPO

Le RGPD confie au DPO les missions suivantes :

• Mettre en œuvre les politiques de protection et les règles de contrôle internes pour assurer une protection efficace des données personnelles (renforcement des mesures de sécurité, sensibilisation des salariés sur la confidentialité des données confiées à l’entreprise, contrôle des sous-traitants etc.),

• Veiller au respect du principe de Privacy by Design/ by Default,

• Si la probabilité d’un risque existe, contribuer à la réalisation d’études d’impact sur la vie privée permettant la mise en place de mesures de protection appropriées,

• Coopérer avec l’autorité de contrôle (la CNIL) et faire office de point de contact,

• Gérer les demandes d’exercice des droits des personnes concernées par le traitement (droit d’accès et de rectification, droit d’opposition et de suppression, droit à la portabilité, etc.) 

• Le cas échéant, notifier auprès de la CNIL et des personnes concernées une violation des données personnelles qui viendrait à être constatée.

 

Le DPO désigné par Sellsy peut être contacté à l’adresse suivante : dpo@sellsy.com.