Le Règlement général de la protection des données (RGPD) ne requiert pas forcément la désignation d’un délégué à la protection des données personnelles (DPO) pour juger de la validité du processus de traitement des données.
Cependant, le statut de délégué est prévu par les textes et son rôle est bien précisé. On en retrouve au sein de certaines entreprises. Sa présence, quoique facultative, est toutefois encouragée et considérée comme une preuve de conformité aux mesures prescrites par le RGDP en matière de collecte, de traitement et de protection des données. Point sur les principales tâches dévolues au délégué.
Rôle d’information
Le DPO est tenu d’aider son entreprise à mettre en place les résolutions du RGPD. Ainsi, l’information est l’une de ses missions principales.
En pratique, il est appelé à rappeler continuellement au responsable du traitement ou au sous-traitant ainsi qu’aux employés qui procèdent aux traitements, les différentes obligations qui leur incombent. Il communique donc énormément sur les règles applicables et obligatoires ainsi que sur les sanctions en cas de manquement.
Contrôle et conseil
En s’assurant que les personnes impliquées dans le processus respectent toutes les mesures préconisées par le RGPD, le DPO est susceptible de dispenser des conseils sur demande, notamment en ce qui concerne l’analyse d’impact relative à la protection des données (PIA).
Point de contact
Le DPO est l’interlocuteur privilégié entre une autorité de contrôle nationale (CNIL) et son organisation. En ce sens, il collabore étroitement avec les agents envoyés sur le terrain pour contrôler la conformité des actions avec les règles édictées en matière de traitement des données personnelles.
Formation et transmission
Dans le cadre de sa mission d’information, le DPO est très souvent tenu de mener des actions de sensibilisation ou d’organiser des séances de formation au profit du personnel associé à cette activité de traitement. Ainsi, dans certains cas, il peut aussi endosser le statut de formateur.
En somme, le DPO à un rôle plutôt actif au sein de l’entreprise et auprès de ses dirigeants. Plusieurs autres tâches lui sont attribuées : réalisation d’audit, gestion des demandes liées à la protection des données, au retrait de consentement, au droit à l’oubli, à la portabilité, etc.
Au regard de son action, le DPO peut s’avérer indispensable au sein d’une entreprise. La loi retient quelques critères pour juger de la pertinence de sa présence. Ainsi, la désignation d’un DPO est obligatoire pour un organisme public ou une autorité publique, si l’entreprise concernée réalise un suivi à grande échelle de personnes et dans le cas du traitement de données sensibles.