Le Délégué à la protection des données (DPO) est le gardien de la conformité en matière de protection des données au sein de l’organisation. Il peut à tout moment s’adresser à la Cnil pour obtenir de l’aide afin de mener à bien sa ou ses missions.
Le ministère du Travail, du Plein emploi et de l’Insertion a observé au travers d’une étude les évolutions significatives depuis ces 3 dernières années du métier de délégué à la protection des données (DPO). Les résultats présentés dans cette étude sont issus d’une enquête réalisée auprès de 1 811 DPO désignés auprès de la CNIL interrogés entre septembre et octobre 2021
Le profil d’un DPO en 2021
- 72 % exercent leur fonction comme DPO interne
- 29 % exercent en Île-de-France
- Égale représentation des femmes et des hommes
- 62 % sont issus de formation supérieure, de niveau 7 ou 8
- 63 % sont âgés de 40 et plus
- 55 % ont une ancienneté dans la fonction de DPO de 2 ans et moins
Quelles sont donc ces missions ?
- informer et conseiller l’organisme qui l’a désigné, ainsi que ses employés ;
- contrôler le respect du règlement et du droit national en matière de protection des données ;
- conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- être contacté par les personnes concernées pour toute question ;
- coopérer avec la CNIL et d’être son point de contact.
La mission première du DPO est de
- s’informer : rassembler la documentation juridique essentielle : le règlement européen sur la protection des données, les lignes directrices , fiches pratiques, etc
- organiser une veille sur les sujets touchant aux données personnelles (juridique, technique, sociétal, sectoriel,…), à la sécurité des systèmes d’information (Anssi, Clusif, …)
- se faire connaître
- Vérifier que les personnes concernées (employés, clients, usagers, étudiants, etc.) peuvent facilement le joindre (adresse email dédiée, formulaire de contact, ligne téléphonique, etc.
- Élaborer un plan de communication interne pour informer l’ensemble des employés de son rôle en tant que DPO, de son statut et de ses futurs chantiers
- Rencontrer les interlocuteurs internes et les directions qui devront l’aider dans ses missions.
La seconde mission du DPO est d’accompagner son organisme dans la conformité au RGPD
Il devra pour ce faire :
1 Recenser les traitements
Dans le cadre de leur plan d’action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles. Ils doivent aussi s’assurer qu’ils respectent bien les nouvelles obligations légales.
Pour être en capacité de mesurer l’impact du règlement sur l’activité et de répondre à cette exigence, le DPO doit au préalable recenser précisément :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées ;
- Les objectifs poursuivis par les opérations de traitements de données ;
- Les acteurs (internes ou externes) qui traitent ces données (identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité) ;
- Les flux en indiquant l’origine et la destination des données. Notamment pour identifier les éventuels transferts de données hors de l’Union européenne.
2 Établir un plan des actions à mener
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de l’organisme, le DPO, pour chacun d’eux, identifier les actions à mener pour conformer l’entreprise aux obligations actuelles et à venir.
Cette priorisation peut être menée au regard des risques que font peser les traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre.
3 Gérer les risques
Si le DPO identifie des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, il se doit de conduire, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (en anglais, Data protection impact assessment).
Cette analyse aide à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle repose sur 2 piliers :
- Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
- La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
Une AIPD contient :
- Une description du traitement étudié et de ses finalités.
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
- Une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.
4 Organiser les procédures internes
Pour garantir un haut niveau de protection des données personnelles en permanence, le DPO doit mettre en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
5 Piloter la conformité
Le DPO structure et anime son réseau
En interne :
- Il identifie une personne relais pour chaque direction métier ou filiales
- Il communique efficacement sur leur présence et leur rôle
- Il réunit régulièrement ses relais pour échanger et piloter les actions en cours.
En externe :
- Il se rapproche des DPO du même secteur d’activité ou d’une même zone géographique (associations de DPO, fédérations professionnelles, associations d’élus, etc.)
- Il mutualise l’expérience et les difficultés pour diffuser plus largement les solutions et les bonnes pratiques.
Le DPO sensibilise les collaborateurs
Pour mener à bien sa mission :
- Il initie une réflexion globale sur la mise en place d’une politique de protection des données dans votre structure (ex : charte d’utilisation des moyens numériques, etc.).
- il identifie les publics cibles en interne et les éventuels besoins particuliers en fonction des services (ex : activités marketing, ressources humaines, etc.)
- il crée des contenus thématiques (fiche pratique, vidéo de présentation, « serious game », etc.)