LE RÔLE DU DÉLÉGUÉ

A LA PROTECTION DES DONNÉES (DPO)

Le Délégué à la protection des données (DPO) est le chef d’orchestre de la conformité RGPD. 

Il constitue un atout majeur pour comprendre et mettre en oeuvre le règlement, dialoguer avec les personnes concernées et réduire les risques de contentieux.

Il conseille et sensibilise les équipes aux enjeux de la protection des données personnelles pour l’entreprise.

Lorsqu’un Délégué à la protection des données (DPO) est désigné par l’entreprise auprès de la CNIL, il devient son interlocuteur privilégié, c’est à lui que s’adressera la CNIL pour toutes les questions concernant les données personnelles.

C’est un acteur clé de la sécurité juridique : conseil, médiation et alerte en cas de dysfonctionnement.

Il prépare l’entreprise à laquelle il est rattaché aux grandes mutations initiées par la réglementation européenne. Il permet également de valoriser les investissements relatifs aux données.

Le Délégué à la protection des données (DPO) participe au renforcement de la confiance des clients, des partenaires comme des salariés sur les garanties mises en œuvre en matière de cyber sécurité et de protection de la vie privée des personnes.

Mutualisation du DPO

 Ou « Comment mutualiser des ressources et des moyens dans le cadre d’une démarche de mise et de maintien en conformité avec le RGPD dans le cadre de la notion de groupe d’entreprises (ou d’organismes publics comme les collectivités territoriales, etc…) »

La notion de “groupe d’entreprises” est définie à l’article 4 du RGPD comme étant “une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle”.

Le considérant 37 du RGPD vient préciser cette définition en indiquant que ce contrôle peut se caractériser par une influence dominante sur des entreprises contrôlées, telle qu’une détention de capital, une participation financière ou la capacité de l’entreprise dominante à faire appliquer des règles au sein des entreprises contrôlées.

En pratique, un groupe d’entreprises sera bien souvent constitué d’une maison mère et de ses filiales (les filiales étant définies comme des entités disposant de leur propre personnalité morale mais détenues ou contrôlées par la maison mère).

Une même personne, en interne, ou une même entité externe – du type de EDP – peut être nommée Délégué à la protection des données (DPO) pour plusieurs entités qui auraient par exemple des intérêts juridiques ou d’influence (comme le secteur d’activité) en commun.

On parle alors de DPO mutualisé.

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées. De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.