Un délégué à la protection des données (DPO) est un rôle de direction de la sécurité de l’entreprise requis par le règlement général sur la protection des données (RGPD). Les responsables de la protection des données sont chargés de superviser la stratégie de protection des données d’une entreprise et sa mise en œuvre pour garantir la conformité aux exigences du rgpd.
Quelles entreprises ont besoin d’un DPO RGPD ?
Le RGPD a été mis en avant par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer et rationaliser la protection des données des citoyens de l’Union européenne. Il prévoit la nomination obligatoire d’un dpo rgpd dans chaque organisation qui traite ou stocke des données personnelles de citoyens européens.
Les DPO doivent être « nommés pour toutes les autorités publiques, et lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent un « suivi régulier et systématique des personnes concernées à grande échelle » ou lorsque l’entité effectue un traitement à grande échelle de « catégories particulières de données à caractère personnel », telles que : la race, l’origine ethnique ou les convictions religieuses.
Le langage du RGPD indique que la taille d’une organisation n’est pas ce qui nécessite la mise en place d’un DPO, mais plutôt la taille et la portée du traitement des données. Malheureusement, il ne définit pas spécifiquement ce qu’il considère comme un traitement de données « à grande échelle ». Toutefois, les autorités compétentes utilisent quatre facteurs clés pour déterminer si un DPO est nécessaire.
Ces quatre facteurs sont les suivants :
- les personnes concernées ;
- les éléments de données ;
- la durée de conservation des données ;
- la portée géographique du traitement.
Bien qu’il n’existe pas de directives précises concernant l’ampleur du traitement des données, la plupart des petites entreprises ne seront pas tenues d’engager un DPO. À moins que leur objectif principal ne soit la collecte ou le stockage de données.
Les responsabilités du DPO
Le délégué à la protection des données est un rôle obligatoire pour toutes les entreprises qui collectent ou traitent des données personnelles de citoyens de l’UE, en vertu de l’article 37 du RGPD. Les DPO sont chargés :
- D’éduquer l’entreprise et ses employés sur la conformité ;
- de former le personnel impliqué dans le traitement des données ;
- et de mener des audits de sécurité réguliers.
Les DPO servent également de point de contact entre l’entreprise et toute autorité de surveillance (AS) qui supervise les activités liées aux données.
