Délégué à la protection des données ETI et Grands groupes

RGPD Délégué à la protection des données ETI et Grands groupes, nouveau pilote de la conformité

Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données (RGPD), entré en application effective le 25 mai 2018, a introduit l’obligation pour bon nombre d’entreprises de désigner un Délégué à la protection des données (DPD ou DPO pour « Data Protection Officer »).

Pour les ETI Grands groupes, cette désignation revêt un caractère quasi-obligatoire.

La fonction de DPO ETI et Grands groupes est un nouveau métier pour lequel les compétences requises sont autant juridiques que techniques, organisationnelles et stratégiques.

Garant de la conformité des traitements au sein de l’entreprise, le DPO doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Il participe à la croissance des organismes en pilotant la gouvernance des données personnelles.
Il est le point de contact essentiel pour les personnes concernées dans l’exercice de leurs droits et assure le dialogue avec la Cnil.

Le DPO apparaît comme un acteur incontournable du traitement des données personnelles de l’entreprise.
Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD.

Les obligations imposées aux entreprises par le RGPD

Comme toutes les entreprises amenées à mettre en œuvre des traitements de données personnelles dans le cadre de leur activité, les ETDI et Grands groupes sont évidemment concernés par le RGPD.

Il impose aux entreprises de se plier à de nouvelles obligations, telles que :

• la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné ;
• l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD ;
• l’obligation de notifier à la Cnil toute violation de données à caractère personnel.
• la réalisation d’analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;

La mise en conformité avec le RGPD est un enjeu majeur : la Cnil, autorité de tutelle, peut être amenée à infliger des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel.

Mais sa mise en application devrait aussi et surtout avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises , donnant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles.

Il permet ce faisant d’accroître également la confiance de ses partenaires et collaborateurs, et de renforcer sa position concurrentielle .

Le Délégué à la protection des données ETI et Grands groupes, nouveau pilote de la conformité

En vertu de l’art. 37 RGPD, la désignation d’un délégué à la protection des données(DPO) est impérative, pour le responsable et le sous-traitant dans les situations suivantes :

• le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
• leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
• leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Par ailleurs, le DPO peut, sous certaines conditions, être mutualisé entre plusieurs entreprises.

Concrètement, le DPO constitue un atout pour comprendre et respecter les obligations en matière de protection des données à caractère personnel, dialoguer avec les autorités de contrôle et réduire les risques de contentieux et de sanctions.