Comment désigner son DPO ?
Rappel sur le DPO et ses missions
Un DPO, Data Protection Officer ou Délégué à la Protection des Données, joue un rôle primordial dans la gestion, la protection et la mise en conformité RGPD des sociétés en ce qui concerne les données personnelles. En sus, un DPO a également pour mission de conseiller et d’informer. Il a aussi un rôle d’encadrement, tant sur la documentation que sur les procédures. Enfin, il sert aussi de relais auprès de la CNIL.
Quand désigner un DPO ?
Pour savoir quand il faut désigner son DPO, plusieurs cas de figure se distinguent :
- en cas d’obligation : le DPO doit alors être nominé sans tarder sinon la société s’expose à des sanctions.
- en cas de préconisation : si la structure n’est pas dans l’obligation de désigner un DPO, mais qu’il s’agit simplement d’une recommandation, le DPO peut alors être nommé à tout moment.
- si la société change d’activité : si cette modification entraîne une obligation de désigner un DPO, il faudra alors y procéder dès la création de cette nouvelle activité.
Déroulement de la désignation d’un DPO
Il faut savoir que pour désigner son DPO lorsque la société est en France, il est indispensable de se tourner vers la CNIL. C’est l’organisme qui procède au contrôle de l’application du RGPD. Si l’établissement principal ne se trouve pas en France, il faudra alors se rapprocher de l’autorité de contrôle étrangère dont vous dépendez.
Pour la désignation de ce professionnel, il est possible de le faire directement en ligne via le formulaire dédié par la CNIL. En cas d’appel à un DPO externe, c’est-à-dire une tierce personne n’appartenant pas à la société, il s’occupera lui-même de réaliser sa nomination.
Quoi qu’il en soit, il est préférable que le dirigeant porte son choix sur une personne à la fois neutre et indépendante afin de limiter tout conflit d’intérêt potentiel.
Désigner un DPO : une obligation ou non ?
Désigner son DPO peut, selon les cas de figure, relever ou non de l’obligation. Il faut savoir que dès lors où une entreprise stocke ou traite des données à caractère personnel, se pose la question d’avoir un DPO.
Est obligatoire la nomination d’un DPO lorsque :
- L’organisme traite des données personnelles à grande échelle. Pour savoir si tel est le cas, il est possible de se baser sur l’étendue géographique de l’activité, le volume des données ou encore la durée du traitement.
- L’activité de la structure est basé sur des données personnelles.
Dans certains secteurs d’activité, disposer d’un DPO est seulement recommandé. C’est notamment le cas du webmarketing ou des prestataires informatiques.