DPO RGPD EXTERNE

Il n’y a pas de taille minimale pour une entreprise pour répondre aux exigences règlementaires du RGPD.

Dans tous les cas, il convient de créer au minima une base documentaires permettant d’expliquer les process et le niveau de conformité des mesures techniques et/ou organisationnelles dans le domaine de la protection des données personnelles.

La réponse est simple : NON

L’obligation de nommer un DPO est dictée par l’article 37.1 du RGPD repris ci-dessous
«
1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »

Pour rappel les données visées par l’article 9 du RGPD sont les suivantes :

• L’origine raciale ou ethnique,
• Les opinions politiques,
• les convictions religieuses ou philosophiques ou l'appartenance syndicale
• Les données génétiques,
• Les données biométriques aux fins d’identifier une personne physique de manière unique
• Les données de santé
• Les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique

Au-delà des compétences requises dans le domaine de la protection des données personnelles, le délégué à la protection des données ne doit pas poser un problème de conflit d’intérêt avec les autres missions qu’il exerce dans l’organisme.

En d’autres termes, il ne peut pas être juge et partie, en déterminant les moyens et les finalités de traitements. Ainsi, le responsable de traitements ou dirigeant de l’organisme ne peut pas remplir cette fonction.

La CNIL décrit une liste de fonctions non exhaustives pour illustrer cela :

• Secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier.
• Médecin-chef.
• Responsable du département marketing, responsable des ressources humaines ou responsable du service informatique.

Avec l’évolution du règlement, le référent nommé ne peut plus seulement présenté des aptitudes pour le poste comme cela était le cas avec le CIL (Correspondant Informatique et Libertés) l’ancêtre du DPO avant Mai 2018.

Ainsi, si ses qualités devaient répondre au besoin de la mission, il n’y avait pas d’obligation de compétences en matière de protection des données personnelles.

Le critère de compétence apparait travers le point 5 de l’article 37 du RGPD, et cela devient une différence fondamentale:

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Nous vous détaillons pas à pas comment désigner un DPO en France au sein de notre article dédié.

La Commission Nationale de l’Informatique et des Libertés a mis en place un formulaire permettant de désigner son Data Protection Officer, disponible à l’adresse suivante : http://designations.cnil.fr/dpo/designation/.

Les désignations s’opèrent entité par entité, ce qui ne se révèle pas très pratique lorsque vous devez désigner un DPO pour de nombreuses entités simultanément. Au titre des informations devant être intégrées lors de la désignation, figurent notamment le nom et les coordonnées du responsable de l’entité concernée, l’identification du DPO nommé (internalisé ou externalisé), ses coordonnées à destination de l’autorité de contrôle ainsi que ses coordonnées publiques.

Lorsque vous avez recours aux prestations de DPO externalisé de Mon DPO Externe, nous nous chargeons de procéder à cette désignation pour votre compte.

En droit français, le DPO ne bénéficie pas d’un statut de salarié protégé au même titre, à titre d’exemple, qu’un représentant du personnel.

En revanche, le Data Protection Officer bénéficie d’une certaine protection au sein du Règlement Général sur la Protection des Données. Cette protection a pour but de favoriser l’exécution des missions du DPO en toute indépendance et ainsi favoriser la protection des données au sein d’une entité, grâce à un jeu de contre-pouvoir vis-à-vis du responsable de traitement. L’article 38 du RGPD dispose à cet effet que le DPO ne peut pas être « relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». Ce même article dispose par ailleurs que le DPO ne peut pas recevoir d’instructions en ce qui concerne l’exécution de ses missions.

Le RGPD a effectivement laissé la possibilité de mutualiser la fonction de DPO entre plusieurs entités, au travers de l’article 37.2.

« Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement. »

L’idée est de privilégier la compétence, qui peut certes être plus chère sur temps reparti entre plusieurs entreprise.

Le positionnement d’un DPO Externe et mutualisé pose la question de la confidentialité des données pour le responsable de traitement.

En fait, n’ayez aucune crainte.

D’une part, la mission du DPO ne s’attache qu’aux process relatifs aux traitements des personnelles et non aux données.

Et d’autre part, l’article 38.5 du RGPD exige du DPO d’être soumis au secret professionnel sur l’ensemble des points abordés dans sa mission.

« Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres. »

Les exigences du RGPD amènent naturellement effectivement a s’équiper d’un logiciel permettant de disposer d’une base documentaires propre au RGPD, de fonctionnalités pour horodater, d’effectuer des mises a jour rapides, ou gérer les actions a mener par exemple.

L’utilisation de cet outil, peut s’avérer finalement couteux tant du point de vue de son acquisition que de son apprentissage.

C’est pour cela que notre solution ne vous l’impose pas.

La nouvelle règlementation RGPD, n’est plus un système déclaratif, et le responsable de traitements se doit de pouvoir justifier de ses moyens techniques et organisationnelles en la matière.

Ainsi, même si le dirigeant ressent qu’il est conforme, il se doit d’établir l’ensemble des livrables et justificatifs conformément aux directives ou recommandations de l’autorité de contrôle française, La CNIL.

La conformité RGPD d’un logiciel métier est bien évidemment requise, mais dans tous les cas, celle-ci ne permet pas de répondre aux différents aspects de la conformité, tel que par exemple, les traitements relatifs aux personnel, la conformité des sous-traitants, les bases légales de traitements etc….

En fait, c’est une idée reçue pour les responsables de traitements pour qui le RGPD se borne au métier, aux clients et à l’informatique….

La difficulté de la prestation et donc son coût ne sont en rien corrélés à ces deux facteurs.

Le coût d’une prestation de DPO Externe relève plutôt de la complexité des services de l’entreprise, des échanges ou des types de données et notamment celle dites particulières et relevant des articles 9 et 10 du RGPD.