Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD), en anglais : General Data Protection Regulation (GDPR), fêtera cette année ses quatre ans.
Ce texte qui poursuit un objectif de transparence, de garantie des droits des personnes dans le traitement de leurs données personnelles, en plus de responsabiliser les entreprises dans le traitement de celles-ci, prévoit également en son article 37 la désignation d’un délégué à la protection des données : DPO pour data protection officer.
Le rôle du DPO au sein d’une entreprise ou d’un organisme peut être résumé en une phrase : il pilote la protection des données à caractère personnel au sein de la structure qui l’a désigné. Il est, outre cette responsabilité, le contact de référence des tiers concernés par la collecte de leurs données, mais également des organismes comme la CNIL pour la France, pour toute requête et en cas de suspicion de violation des données.
En pratique, son rôle est centralisé autour de deux grandes missions :
Conseiller
Par son évaluation des activités de traitement de l’entreprise et la réalisation d’une cartographie du système de collecte et de traitement des données, le DPO diffuse les bonnes pratiques concernant leurs manipulations, conformément aux règles édictées par le RGPD, et propose s’il y a lieu, une refonte du système de collecte, de gestion et de stockage des données, via une sensibilisation de l’ensemble des acteurs de l’entreprise, direction et collaborateurs. Il assure au besoin des formations auprès de ces personnes, et leur fournit une documentation adéquate.
À ce titre, le DPO peut exiger que sa présence ou son avis soit requis avant toutes décisions ou projets qui auraient un impact sur le traitement existant des données à caractère personnel, ou qui nécessiteraient une modification ou la création de nouveaux outils (registre, actualisation de la politique de traitement des données, etc.).
Contrôler
Corrélativement à sa mission de conseil, le DPO est chargé de contrôler la correcte application des règles établies en matière de protection des données personnelles, dans le but précis d’éviter toute condamnation de la structure qui l’a désigné, pour violation de ces règles fondamentales.
Pour cela, il est en veille constante sur les innovations de l’entreprise qui pourraient juridiquement avoir des incidences sur la protection des données. Il s’assure également de la correcte tenue des registres de collecte de données, mais effectue également des analyses d’impact.
Le DPO assure ses missions de manière indépendante et sa désignation n’est obligatoire que pour certaines entreprises et organisations, dans les conditions fixées à l’article 37 du RGPD.
S’agissant des transferts de données européennes en dehors de l’Espace Économique Européen, et notamment vers les Etats-Unis ou le Canada, et de leur traitement sur place, une fois exportées, le DPO s’assure que ces transferts et traitements soient conformes aux règles européennes relatives à la protection des données. Il s’assure également que la collecte et le traitement des données non-européennes soient conformes à toutes les règlementations étrangères applicables.
A ce titre, la désignation d’un DPO, pilote de la conformité de l’entreprise aux règlementations internationales applicables en matière de protection des données à caractère personnel est gage de sécurité pour la société qui, ce faisant, réduit les possibilités de sanctions administratives ou judiciaires pour infraction aux règles.
Fort d’une expérience de près de 30 ans en tant qu’avocat et juriste d’entreprise, et particulièrement au fait des législations européennes et nord-américaines en matière de protection des données à caractère personnel, Stéphane Grynwajc assure de façon régulière une mission de DPO auprès d’un grand nombre de sociétés françaises ayant une activité transatlantique.
Si vous souhaitez bénéficier d’une expertise en termes de RGPD, vous pouvez faire appel à un avocat RGPD.