Data Protection Officer, une fonction incontournable depuis le RGPD

Avec l’avènement d’internet et des nouvelles technologies, la protection des données personnelles est devenue un sujet central des politiques et des États de l’Union Européenne. Un nouveau règlement européen portant sur la protection des données est ainsi entré en vigueur en 2018 : le RGPD. Ce règlement a pour finalités de garantir la sécurité informatique des données européennes, réduire le risque de violation et établir des sanctions en cas de non-respect du règlement.

 

La création d’une nouvelle fonction

Le règlement général sur la protection des données (le RGPD) a apporté son lot de nouveautés quant au traitement des données personnelles. On notera, en particulier l’obligation d’obtenir le consentement explicite de la personne pour toute collecte de données. Mais aussi en matière de conservation des données : la durée de conservation des données personnelles des personnes inactives ne peut, en outre, pas excéder 36 mois (3 ans).

 

La grande nouveauté de ce règlement européen est surtout l’institution du Data Protection Officer (DPO ou Délégué à la Protection des Données en français). D’une manière générale, le DPO est le contrôleur de chaque société pour éviter que celle-ci ne se retrouve dans une situation de non-conformité avec le règlement. Une formation dpo est requise pour l’exercer.

 

Le rôle du DPO est donc profondément lié à la démarche de mise en conformité de toute institution qui traite, analyse et conserve des données à caractères personnelles ou des données dites sensibles. A la fois un peu juriste et un peu informaticien, il remplit une fonction de conseiller et de superviseur qu’il doit exercer en toute indépendance. Aucune sanction hiérarchique ne pourra être prononcée à son encontre. Et c’est pour garantir cette indépendance et pour éviter tout conflit d’intérêts que certains font le choix d’externaliser cette mission.

 

Il devient donc le point clé d’informations pour tout ce qui concerne la protection de la vie privée des individus. Sa fonction implique également de faciliter l’exercice des droits découlant du RGPD par les individus (droit à l’oubli, droit d’accès aux données conservées, droit de rectification).

 

Ce que le RGPD impose au DPO

Le RGPD définit d’une manière assez claire et précise les missions qui incombent à tout délégué. Outre, le devoir général d’une collaboration très étroite avec le responsable du traitement et du sous-traitant, il est, selon le règlement, responsable des tâches suivantes :

 

  • Informer et conseiller l’entreprise, le responsable du traitement et tous les employés afin que ceux-ci soient familiers de toutes les nouvelles obligations légales découlant du règlement ;
  • Contrôler le respect du règlement et de toute loi nationale relative à la protection de données, telle que la Loi informatique et libertés de 1978 ;
  • Convaincre l’employeur de mettre en place une analyse d’impact relative des données et dispenser tous les conseils nécessaires pour une bonne exécution de l’analyse ;
  • Coopérer avec l’autorité de contrôle, qui en France est la CNIL (la Commission nationale de l’informatique et des libertés).

 

Ces fonctions ne sont pas sans rappeler celle du Correspondant Informatique et Libertés (CIL) qui avant l’entrée en vigueur de la nouvelle règlementation était celui qui était en charge de la sécurité des données personnelles et en charge de contrôler le respect des obligations de protection des données. A la seule différence, que dans certains cas, la désignation d’un dpo rgpd est obligatoire alors que désigner un correspondant CIL était purement facultatif.

 

La responsabilité civile et pénale du DPO

Compte tenu de toutes ces missions lourdes de conséquences, la question de la responsabilité et de la certification dpo rgpd est indissociable de l’exercice de ses missions. Il serait impossible d’établir une casuistique complète des erreurset des cas de violation de données potentiellement imputables à un DPO mais, en voici quelques exemples :

  • De mauvais conseils entrainant la perte ou la divulgation de données ;
  • Des dommages financiers en raison d’une mauvaise gestion ou d’une mauvaise application des lois ;
  • Une absence de maîtrise du sujet pouvant conduire à des failles de sécurité…

 

En tout état de cause, le DPO ne s’expose à aucun risque de sanctions pénales à titre personnel en cas de manquement au règlement. En principe, aucune délégation de pouvoir ne pourrait entrainer la responsabilité du DPO, celui-ci ne remplissant qu’une fonction stratégique et n’ayant, dans les faits, aucun pouvoir décisionnel. A noter néanmoins que, comme tout employé, il engage sa responsabilité pénale s’il enfreint à dessein une disposition pénale en matière de protection ou s’il est complice d’une telle infraction.

 

Enfin, concernant la responsabilité civile, le DPO ne peut non plus être tenu responsable d’une quelconque non-conformité au règlement ou à la loi. La responsabilité incombe pleinement à l’entreprise employeur. Attention toutefois à se protéger contre les tâches qui n’ont pas un lien direct et pour lequel il peut être tenu personnellement responsable.succulent workmanship is going to be abdominal price https://www.brby.ru usa. save 20% to 60% every day on https://www.heylovape.com. best swiss https://www.vapesshops.de/ e-zigarette artists hold amazing perspective and also abundant creativeness. swiss https://www.pt-watchesbuy.com/ online in high quality. replica-watches.is emphasizes massive essentials. best https://www.replicapam.ru/ store uk. the best https://www.soccerjerseys.ru in the world owns the most advanced craftsmen in the worl.