Avec l’entrée en vigueur, le 25 mai 2018, du règlement général sur la protection des données (RGPD, règlement 2016/679 du 27 avril 2016, JO 119/1), le rôle du délégué à la protection des données (DPO) a été modifié.
Ancien rôle du DPO
Avec son adoption en 1996, la directive 95/46 / CE sur la protection des données à caractère personnel visait à instaurer un esprit de conformité en matière de confidentialité et de données à caractère personnel dans tous les États membres. Dans la directive, le rôle du DPO était déjà bien établi, mais devait encore se doter d’un portefeuille et de tâches assez importants dans les entreprises. Parallèlement, le règlement (CE) n ° 45/2001, qui s’applique aux institutions, organes et agences de l’UE dans le domaine de la protection des données, a en réalité fourni plus de pratique et une plus grande visibilité au rôle du DPO. Cela s’est fait notamment grâce à son rôle de contrôleur européen de la protection des données (CEPD), une institution européenne dédiée dans le domaine de la protection des données qui est devenue un acteur clé au fil des années dans le cadre du RGPD. Au niveau national, le DPO était plutôt perçu comme un simple agent de liaison entre une entreprise et l’autorité de protection des données locales. Le RGPD ne place plus le DPO en tant qu’agent de liaison, mais en tant que seul expert en la matière de votre société ou de votre administration.
Le nouveau rôle du DPO suite à la mise en application du RGPD
Le DPO est un conseiller de confiance pour toutes les questions relatives à la confidentialité et à la protection des données, en particulier si l’activité principale de l’organisation est basée sur le traitement de données à caractère personnel, telles que les opérations bancaires, les assurances, les services de santé ou les technologies de l’information. Le délégué à la protection des données doit non seulement donner des conseils comme le fait un avocat, mais il doit également être consulté avant tout traitement de données.
Compétences et expertises du DPO
Un DPO doit avoir une excellente base juridique, mais la fonction ne repose pas entièrement sur cette compétence. En effet, la diversité des techniques d’évaluation du RGPD indique qu’une personne morale ayant le savoir-faire d’un auditeur, possédant de solides compétences en communication et une bonne compréhension des évolutions en matière de sécurité et d’informatique peut tout aussi bien remplir le rôle de DPO obligatoire. Des techniques d’audit et de consultation sont également nécessaires car le DPO est impliqué dans les évaluations du traitement des données. En outre, la tâche du délégué responsable de la protection des données consiste à maintenir un niveau suffisant de sensibilisation à la sécurité des données au sein de l’entreprise (article 39.1.b du règlement 2016/679). Outre son rôle de conseiller, le DPO doit aussi se charger de la formation des responsables de l’organisation pour laquelle il travaille sur les questions relatives au RGPD. En informant, éduquant et partageant sur la protection des données, il permet de réduire les actes répréhensibles impliquant des données à caractère personnel.
Bien que le DPO soit informé des politiques et des autres contrôles légaux de l’entreprise, il doit également évaluer les menaces, les risques et les contrôles de sécurité du logiciel qui utilise des données à caractère personnel. En d’autres termes, l’évaluation des risques d’une violation de données pour une solution de cloud computing nécessite un savoir-faire technologique du DPO. Ce dernier peut être un membre de l’équipe informatique de l’entreprise ou une personne nouvellement recrutée et en dehors de l’entreprise.
