Désigner un DPO est il une obligation ? ou une option ?

Par Stéphann FOURRIER (Experte Métier)

Depuis la réforme du droit de la protection des données personnelles, ainsi que le règlement RGPD, le délégué à la protection des données (DPD), ou de sa version anglo-saxonne DPO (« Data Protection Officer ») est l’acteur majeur de cette loi Européenne.

LE métier d’ailleurs le plus recherché pour 2020, le DPO a un rôle, un statut et des pouvoirs plus étendus que l’ancien Correspondant Informatique et Liberté (CIL).

En pleine révolution numérique sécurisée, nous pouvons nous demander :

Dans quelles situations doit-il être désigné ?

La désignation du DPO est obligatoire dans des cas précis :

La désignation du DPO (Prévu à l’article 37 de la section 4 du Règlement RGPD), est obligatoire dans les situations suivantes :

  • Au sein des organismes et autorités publics.

Effectivement, il est justifié qu’à l’intérieur des ministères, des collectivités territoriales ou des établissements publics, la protection des données personnelles soit une règle inflexible.

Le gouvernement a une responsabilité envers le public et ne doit pas commercialiser ou traiter des données sensibles sans conséquences. Une obligation renforcée leur est alors évidemment imposée.

  • Au sein des organismes qui exercent des activités ayant vocation à faire du traitement systématique, régulier d’informations sur un grand nombre de personnes.

Les établissements bancaires ou les sociétés d’assurance qui collectent des données personnelles sur des personnes physiques ou morales, leurs dépenses ou leur sinistralité, sont principalement touchés.

Il en va de même pour les compagnies de téléphonie mobile qui doivent s’assurer qu’en interne, les informations relatives à vos conversations téléphoniques, vos habitudes d’appel et votre consommation ne soient pas utilisées à des fins commerciales.

  • Au sein des organismes faisant du traitement de données qualifiées de sensibles par la loi. Ces données sont principalement celles qui touchent à notre intégrité physique (les données biométriques, génétiques, sur la santé, l’orientation sexuelle, l’origine ethnique etc).

Il suffit d’imaginer comment ces données, en de mauvaise mains, peuvent avoir des incidences graves.

Également, toutes les données concernant les opinions politiques, religieuses, syndicales ou philosophiques, font l’objet du même renforcement de protection.

Les dernières informations dites « sensibles» sont les informations relatives aux infractions et condamnations pénales concernant un individu et qui lui seraient gravement préjudiciable en cas de diffusion.

Selon la réglementation en vigueur, ces hypothèses sont les « seules » dans lesquelles un DPO doit être désigné obligatoirement, pourtant le champ d’application est bien plus large en pratique.

Il est en effet difficile d’apprécier si un organisme est concerné ou non. Consulter un professionnel du droit est recommandé afin de ne pas faire l’objet d’un redressement postérieur.

La désignation du DPO est fortement recommandée dans tous les cas

Cependant, la CNIL est formelle : cette désignation est fortement recommandée.

A minima, les organismes sont tenus de respecter à la lettre le texte du Règlement RGPD.

En effet, la CNIL encourage la désignation d’un Délégué à la protection des Données pour les entreprises qui collectent des données personnelles hors du cadre des activités de base (celles liées directement à l’activité de l’organisme et qui sont nécessaires pour l’exercer).

Par exemple, les activités de paye devraient être encadrées car sensibles. Il est préconisé d’effectuer un suivi des opérations de traitement de données et de prévoir des procédures internes pour s’assurer de la conformité de l’organisme avec le RGPD.

La désignation d’un délégué, même lorsque la loi ne l’exige pas est alors une véritable stratégie de promotion de la société.

Vous pouvez me contacter via ce lien : https://peace-business.fr/e74-stphann-fourrier-dpo-agency-by-peb-expert-data-protection-officer-lille-cudl.html

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *