Depuis l’entrée en vigueur du règlement général pour la protection des données personnelles ou RGPD, les entreprises ou administrations doivent faire appel à un DPO ou Data Protection Officer. Dans cet article vous allez découvrir ses missions et les formations à suivre pour devenir un DPO.
Qu’est-ce qu’on entend réellement par DPO ?
Le délégué à la protection des données est par définition la personne en charge de la protection des données personnelles dans une structure privée ou publique. En effet, le DPO a un rôle très important dans l’application des mesures proposées par le RGPD. Son rôle principal étant d’assurer la conformité au règlement européen concernant la protection des données pour les traitements mis en œuvre dans une entreprise.
Pourquoi mettre en place un DPO ?
Le délégué à la protection des données a pour premier objectif de faire respecter le droit des données personnelles au sein d’une entreprise de toute forme. Il remplit plusieurs fonctions prévues par le RGPD comme celle d’informer les collaborateurs dans un organisme. Il va également contrôler le respect des règlements, du droit national et européen en matière de protection des données personnelles et répond aux questions des personnes concernées tout en assurant les communications avec la CNIL.
Comment s’exercent les fonctions du DPO ?
Le DPO doit garantir les droits et les libertés fondamentaux des personnes dont les données ont été collectées et traitées dans un organisme. Il doit tout faire pour que l’exercice des missions du Data Protection Officer se fasse dans les meilleures conditions. L’entreprise doit ainsi octroyer des moyens suffisants et assurer l’indépendance du DPO dans ses fonctions.
En quoi consistent les missions du DPO ?
Le DPO doit d’abord s’assurer de la mise en conformité de l’entreprise au RGPD. Il remplit également d’autres missions comme :
- cartographier les traitements de données personnelles ;
- participer à l’élaboration d’un règlement interne pour protéger les données ;
- faire un recensement des activités en lien avec le traitement des données de l’organisme.
Dans quelle mesure la responsabilité du DPO est engagée ?
La responsabilité du DPO peut être engagée en cas de non-conformité au règlement général pour la protection des données personnelles. Il sera tenu co-responsable avec le responsable du traitement ou le sous-traitant le cas échéant. Cependant, il n’a pas de pouvoir de décision concernant les moyens de traitement des données. À noter qu’il est indépendant par rapport aux autres collaborateurs de l’entreprise. Dans ce cas, le responsable du traitement ne peut pas le suspendre de ses fonctions.
Dans quels cas le DPO est obligatoire ?
Le RGPD rend obligatoire la désignation du DPO dans des structures précises comme :
- les autorités publiques sauf les juridictions dans leurs fonctions juridictionnelles ;
- les organismes qui ont une activité de suivi régulier des personnes de grande ampleur ;
- les organismes qui traitent des données sensibles concernant des condamnations pénales.
Quant aux entreprises qui traitent les données personnelles, la désignation du DPO est simplement recommandée, mais pas obligatoire.
Les conditions de désignation du DPO
Pour désigner un DPO, il faut qu’il ait les compétences demandées. Il doit également disposer de moyens suffisants pour accomplir ses missions et agir en toute indépendance.
Sa désignation se fera sur le site web de la CNIL avec des informations comme le numéro SIREN et ses coordonnées.
Formation pour devenir DPO
Avec l’entrée en vigueur du RGPD, le métier de DPO a connu un essor important. Comme de nombreuses offres d’emploi sont proposées sur le marché du travail, les professionnels doivent se former à cette fonction.
La formation est-elle obligatoire ?
Selon le RGPD, le DPO est désigné sur la base de certaines qualités professionnelles en particulier sur les connaissances spécialisées en matière de protection des données personnelles. Ainsi, il n’y a pas de formation obligatoire par rapport à ce métier puisqu’il n’est pas une profession réglementée comme celle d’avocat ou de notaire.
Les différents types de formation
La première formation en ligne est celle de type MOOC pour acquérir les fondamentaux et pratiques en lien au RGPD vous permettant de connaitre les bases de la mission du DPO.
Les formations webinaires donnent accès à des outils pédagogiques pour augmenter vos compétences tandis que les formations en présentiel proposées par des organismes spécialisés. La durée de ce type de formation varie de 2 à 15 jours. La seule condition est d’avoir une expérience professionnelle dans le domaine du droit ou l’informatique.
La certification est-elle obligatoire ?
Il a deux types de certification :
- la certification de l’organisme de formation agréé par la CNIL comme Adaliance qui propose une formation RGPD et DOPO certifiantes ;
- la certification de la formation.
Cependant, il existe des formations non certifiantes comme celles proposées par un MOOC. Vous pouvez quand même devenir un DPO avec ce type de formation sans certification. Dans tous les cas, il est recommandé de privilégier les formations DPO certifiantes dont la durée de validité d’une certification est de 3 ans.