Javascript is required
logo-dastralogo-dastra

Les missions du Délégué à la protection des données (DPO)

Les missions du Délégué à la protection des données (DPO)
Estelle Penin
Estelle Penin
2 décembre 2021

Les grandes missions du DPO

Les missions du délégué à la protection des données (DPO) sont encadrées par l’article 39 du RGPD (règlement général sur la protection des données).

Le DPO est principalement chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Les missions du DPO couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Les modalités de désignation d'un DPO se trouvent dans cet article

Contrôle du respect du RGPD

Mission significative du DPO, il lui revient la tâche de contrôler le respect du RGPD.

Le RGPD va même plus loin, il indique au DPO, au sein du considérant 97, d’aider le responsable du traitement ou du sous-traitant, à vérifier le respect, au niveau interne, du présent règlement.

Qu’entend-on par “contrôler le respect du RGPD” ? Cela peut se traduire par :

  • recueillir des informations permettant de recenser les activités de traitement;
  • analyser et vérifier la conformité des activités de traitement;
  • informer et conseiller le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention.

Attention : le contrôle du RGPD par le DPO ne signifie pas qu’il sera personnellement responsable en cas de non-respect de celui-ci.

Dastra vous accompagne dans votre mise en conformité RGPD, découvrez notre solution ici.

L'analyse d'impact et la mission de conseil du DPO

La responsabilité de réaliser, si nécessaire, une analyse d’impact incombe au responsable du traitement.

Néanmoins, dans le cadre de sa mission de conseil, le DPO peut être sollicité par le responsable de traitement.

Ainsi, le DPO dispense des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données conformément à l’article 39 du RGPD.

L’ancien G29, aujourd’hui remplacé par le comité européen de la protection des données (CEPD) recommande que le responsable du traitement demande conseil au DPO sur les questions suivantes notamment :

  • la question de savoir s’il convient ou non de procéder à une analyse d’impact relative à la protection des données ;

  • la méthodologie à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;

  • la question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en interne ou de la sous-traiter ;

  • les mesures (y compris des mesures techniques et organisationnelles) à appliquer pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ;

  • la question de savoir si l’analyse d’impact relative à la protection des données a été correctement réalisée et si ses conclusions (opportunité ou non de procéder au traitement et garanties à mettre en place) sont conformes au RGPD.

En cas de désaccord entre le responsable de traitement et l’avis fourni par le DPO, il convient de documenter et justifier par écrit la raison pour laquelle l’avis du DPO n’a pas été retenu.

Dastra propose un module simple et coopératif d'analyse d'impact, découvrez notre solution ici.

Approche fondée sur les risques et le DPO

Cette approche incite le DPO à établir des priorités dans les activités réalisées et concentre ses efforts sur les sujets représentant un risque élevé en matière de protection des données.

Attention : cela signifie que le DPO va, en premier lieu, se concentrer sur les secteurs et opérations de traitement présentant un niveau de risque élevé ;
En aucun cas le DPO négligera la vérification de la conformité des opérations de traitement présentant un niveau de risque inférieur.

Cette approche sélective devrait aider les DPO à conseiller le responsable du traitement sur :

  • la méthode à utiliser lors de la réalisation d’une analyse d’impact sur la protection des données,
  • les domaines qui devraient être soumis à un audit interne ou externe en matière de protection des données,
  • les activités de formation à proposer au personnel ou aux membres de l’encadrement responsables des activités de traitement des données
  • les opérations de traitement auxquelles il devrait consacrer une part plus importante de son temps et de ses ressources.

Rôle du DPO dans la tenue du registre

En théorie, en vertu de l’article 30, paragraphes 1 et 2 du RGPD, c’est le responsable du traitement ou le sous-traitant, et non le DPO, qui doit :

  1. tenir un registre des activités de traitement effectuées sous sa responsabilité
  2. ou un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Dans la pratique, ce sont souvent les DPO qui dressent des inventaires et tiennent un registre des opérations de traitement sur la base des informations qui leur ont été fournies.

L’article 39, paragraphe 1, établit une liste des missions que le DPO doit au moins se voir confier.

Par conséquent, rien ne s’oppose à ce que le responsable du traitement ou le sous-traitant confie au DPO la mission de tenir le registre des opérations de traitement effectuées sous la responsabilité du responsable du traitement ou du sous-traitant.

Ce registre est ainsi considéré comme un outil permettant au DPO d'exercer ses missions de contrôle du respect du RGPD ainsi que de réaliser sa mission d'information et de conseil du responsable de traitement ou du sous-traitant.

En tout état de cause, le registre est également un outil permettant au responsable du traitement et à l'autorité de contrôle de disposer, sur demande, d'une vue d'ensemble de toutes les activités de traitements de données à caractère personnel effectuées par un organisme.

Dastra vous accompagne dans la réalisation de votre registre, découvrez notre solution ici.

La coopération avec l’autorité de contrôle

L’une des autres missions du délégué est d’être le point de contact pour l’autorité de protection des données et de coopérer avec elle.

A ce titre, le délégué doit faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité.

Par exemple :

  • lors d’échanges avec l’autorité dans l’instruction d’une plainte,
  • ou en cas besoin de précisions sur un projet en cours
  • ou bien encore, dans le cadre d’un contrôle de l’autorité.

L’obligation de confidentialité ou de secret professionnel du délégué ne doit pas l’empêcher de demander conseil à l’autorité sur tout sujet, si nécessaire.

Pour continuer, découvrez les 4 étapes de la désignation d'un DPO

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.