Le DPO : au cœur de la stratégie juridique de l’entreprise
Pour reprendre les termes de la CNIL, le DPO (Data Protection Officer) agit comme un « chef d’orchestre » en matière de protection des données personnelles au sein de l’organisme dans lequel il évolue.
L’entrée en vigueur du RGPD a provoqué une véritable prise de conscience des enjeux de la protection des données personnelles, et cela s’est traduit par une hausse considérable des plaintes adressées à la CNIL.
Bien que la nomination d’un DPO ne soit pas toujours obligatoire, nommer un DPO s’inscrit dans une logique qui repose sur le principe « d’accountability ». En effet, le DPO est garant du fait que l’entreprise respecte ses nouvelles obligations, dans la mesure où sa mission principale consiste à conseiller, informer et faire des recommandations aux personnes chargées du traitement de l’information.
Respect des données personnelles de l’entreprise : quels enjeux ?
Outre l’enjeu financier, il y a un enjeu commercial à la nomination d’un DPO : en faisant preuve d’exemplarité dans le traitement des données personnelles, l’entreprise instaure un haut niveau de confiance avec ses prospects et clients. Dans ce contexte, la désignation d’un DPO prend tout son sens.
En effet, le DPO permettra :
- De faire un état des lieux de la conformité de l’entreprise au RGPD ;
- D’assurer la veille réglementaire et juridique ;
- De cartographier le traitement des données afin de disposer d’une vision d’ensemble sur les données personnelles, afin de les manier plus efficacement et précautionneusement ;
- Prioriser les actions ;
- Assurer une gestion des risques: dans la mesure où le RGPD est un texte complexe ; la maitrise dont dispose le DPO lui permet d’identifier les risques majeurs au moment de la mise en conformité ;
- Conserver les preuves de la conformité ;
- Structurer et animer le réseau en interne, en identifiant les personnes relais ;
- Structurer et animer le réseau en externe, pour tirer parti des retours d’expérience et mettre en œuvre les bonnes pratiques dans l’entreprises ;
- Sensibiliser les collaborateurs.
Dès lors que vous aurez, sur le principe, décidé de nommer un DPO pour votre structure, vous devrez ensuite vous poser les questions suivantes : faut-il désigner un DPO externalisé ? Quelle différence entre un DPO certifié ou non ?
Finalement, qu’elle soit ou non obligatoire, la désignation d’un DPO en entreprise s’avère souvent indispensable. La gestion de la protection des données personnelles nécessite des compétences et une maitrise particulière, pour lesquelles il faut avoir été formé. De la mise en place au suivi des actions, le DPO possède la capacité de prendre en main la mission de mise en conformité continue, au fil des évolutions réglementaires.