La vision de Cyber Academy
Le DPO est le rôle imposé par le GDPR pour surveiller la conformité, conseiller le responsable de traitement et servir de point de contact avec l'autorité de contrôle. Obligatoire pour les autorités publiques et pour les traitements impliquant une surveillance systématique à grande échelle ou des données de catégories particulières. L'indépendance et l'accès à la direction sont les deux points que les auditeurs vérifient concrètement.
À quoi sert ce rôle
Le Data Protection Officer est la personne qu'une organisation désigne pour garantir l'intégrité de ses traitements de données à caractère personnel au regard du GDPR. Sa mission n'est pas de piloter des projets de protection de la vie privée ni de valider la conformité, mais de contrôler si l'organisation fait ce que la loi et ses propres politiques exigent, de conseiller le responsable du traitement et le sous-traitant, de former et de sensibiliser, et d'être le point de contact unique pour l'autorité de contrôle et pour les personnes concernées qui souhaitent exercer leurs droits. Le DPO informe et conseille, mais la responsabilité du traitement reste celle du responsable du traitement.
Un DPO est obligatoire dans trois situations : lorsque le traitement est effectué par une autorité publique, lorsque les activités de base exigent un suivi régulier et systématique des personnes à grande échelle, et lorsque les activités de base impliquent un traitement à grande échelle de catégories particulières de données telles que les données de santé, biométriques ou relatives à des condamnations pénales. Les organisations qui ne relèvent pas de ces critères peuvent tout de même désigner un DPO de façon volontaire, et beaucoup le font car cela leur donne un référent interne clair pour les questions de protection des données.
Indépendance et accès, les deux points que les auditeurs vérifient
Lorsqu'un régulateur ou un auditeur interne examine la fonction de DPO, deux points déterminent si elle est réelle ou cosmétique. Le premier est l'indépendance. Le DPO ne doit recevoir aucune instruction sur la manière d'exercer ses missions, ne peut être relevé de ses fonctions ni pénalisé pour avoir accompli son travail correctement, et ne doit pas être placé dans une position où il auditerait ses propres décisions.
C'est pourquoi un DPO ne devrait généralement pas être également le CISO, le responsable informatique ou le responsable marketing, car ces rôles définissent les finalités et les moyens des traitements que le DPO doit examiner. Le second est l'accès. Le DPO doit faire rapport au plus haut niveau de la direction et être associé, en temps utile et de manière appropriée, à toutes les questions relatives à la protection des données à caractère personnel.
- Contrôle la conformité au GDPR et aux politiques internes de protection des données.
- Conseille sur les analyses d'impact relatives à la protection des données (DPIA) et contribue à leur révision.
- Coopère avec l'autorité de contrôle et en est le point de contact.
- Gère la communication avec les personnes concernées au sujet de leurs droits.
Comment le DPO s'articule avec les concepts voisins
Le DPO est une personne et une fonction, pas un cadre de contrôle. Le GDPR est le règlement qui crée le rôle et fixe ses missions. La DPIA est l'un des instruments sur lesquels le DPO conseille, une évaluation structurée menée avant le démarrage d'un traitement à haut risque. ISO 27701 est la norme de gestion des informations relatives à la vie privée contre laquelle une organisation peut se certifier, et une fonction de DPO bien menée s'aligne naturellement sur ses exigences sans pour autant se confondre avec elle.
Le CDPSE est une certification professionnelle qui atteste qu'un ingénieur en protection de la vie privée ou un DPO sait intégrer la confidentialité dans les systèmes. Un DPO peut être un salarié ou un prestataire de services externe, et un groupe d'entreprises peut désigner un DPO unique tant que cette personne reste joignable depuis chaque établissement et conserve suffisamment d'indépendance et de ressources pour les couvrir tous.
Frequently asked questions
01Un DPO est-il obligatoire pour toute entreprise ?
Non. Le GDPR en exige un pour les autorités publiques, pour les organisations dont les activités de base impliquent un suivi régulier et systématique des personnes à grande échelle, et pour celles dont les activités de base impliquent un traitement à grande échelle de données de catégorie particulière ou relatives à des condamnations pénales. Les autres organisations peuvent en désigner un de façon volontaire.
02Le CISO ou le responsable informatique peut-il aussi être le DPO ?
Généralement non. Ces rôles décident des finalités et des moyens des traitements, de sorte que les cumuler avec celui de DPO crée un conflit d'intérêts, car la personne finirait par superviser ses propres décisions. Le DPO doit conserver son indépendance vis-à-vis des choix opérationnels de traitement des données.
03La fonction de DPO peut-elle être externalisée ?
Oui. Le DPO peut être un membre du personnel ou remplir ses missions dans le cadre d'un contrat de service. Les mêmes exigences d'indépendance, d'accès et de joignabilité s'appliquent dans les deux cas, et l'organisation doit publier les coordonnées du DPO et les communiquer à l'autorité de contrôle.
04Le DPO est-il personnellement responsable des violations ?
Non. La responsabilité du traitement reste celle du responsable du traitement et du sous-traitant. Le DPO conseille et contrôle, mais n'assume aucune responsabilité juridique personnelle si l'organisation décide d'ignorer ses conseils.
05Un seul DPO peut-il couvrir tout un groupe d'entreprises ?
Oui, un DPO unique peut servir un groupe d'entreprises, à condition qu'il reste facilement accessible depuis chaque établissement et dispose de suffisamment d'indépendance, de ressources et de temps pour superviser l'ensemble des traitements concernés.