Le Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGDP ») a créé le DPO chargé d’assurer un rôle d’intermédiaire entre les entreprises et la CNIL.
Le DPO va devenir obligatoire d’ici un an pour :
- les traitements qui exigent un suivi régulier et systématique à grande échelle;
- les traitements à grande échelle des données particulières (ex. : santé)
- les traitement des données personnelles effectués par les autorités et organismes publiques.
Le DPO peut être un membre du personnel du responsable de traitement ou du sous-traitant, mais également être externe à l’entreprise et accomplir ses missions sur la base d’un contrat de services (ex. : avocat).
Le DPO aura pour missions :
- d’aviser et de conseiller l’entreprise notamment dans le cadre analyses d’impact prévues à l’article 35 du RGDP afin d’évaluer les risques que présente un projet de traitement de données personnelles ;
- de contrôler le respect du RGDP;
- d’être le point de contact de la CNIL;
- de tenir le registre d’activité qui remplace les déclarations CNIL.
Il devra donc :
- être nommé par le biais d’une communication interne au sein de l’entreprise;
- disposer de supports, de temps, de ressources financières, d’infrastructures;
- être mis en relation avec les autres directions de l’entreprise;
- être invité aux réunions importantes en matière de données personnelles;
- être consulté pour tout incident impactant les données personnelles;
- exercer ses missions dans le respect du secret professionnel ou d’une obligation de confidentialité
Le responsable de traitement et le sous-traitant doivent veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions. Le DPO ne peut être relevé de ses fonctions ou pénalisé du fait de l’exercice de ses missions (sanction disciplinaire, absence ou de retard dans l’octroi de promotion, absence de prime).
Le DPO n’est pas personnellement responsable des manquements du responsable de traitement ou du sous-traitant.