Désigner un DPO : quand est-ce obligatoire et quelles sont les conditions de désignation ?

‍

La désignation d’un délégué à la protection des données, également appelé DPO ou data protection officer, n’est pas toujours obligatoire pour les entreprises. Le RGPD précise les cas dans lesquels le DPO est obligatoire et prévoit des sanctions en cas de manquement (amende administrative d’un maximum de 10 millions d’euros ou 2 % du chiffre d’affaires). Retour sur les cas dans lesquels il faut nommer un DPO et sur les conditions de cette désignation. 

Quel est le rôle du DPO ?

Le DPO est la personne chargée de conseiller et d’accompagner l’organisme qui l’a désigné. Il occupe donc une position centrale dans la mise en conformité au RGPD de votre organisme. 

‍

En particulier, il a pour mission : 

‍

• D’informer et conseiller l’organisme qui l’a désigné sur ses obligations en matière de protection de données personnelles. Il formule donc avant tout des recommandations. 

‍

• De contrôler le respect du RGPD en interne par cet organisme (et par ses éventuels sous-traitants). Cela étant, le DPO n’a pas à dénoncer d'éventuels manquements à l’autorité de contrôle (la CNIL). Il peut ainsi sensibiliser et former le personnel et les personnes qui réalisent des traitements de données en interne. 

‍

• De coopérer avec la CNIL, notamment lors d’un contrôle, et d’être le point de contact avec les personnes concernées par les traitements de données mis en œuvre par l’organisme en cas de demande relative à leurs données personnelles. 

‍

Le DPO doit pouvoir agir en toute indépendance et exercer ses fonctions sans conflits d’intérêts en cas de cumul de sa qualité de DPO et d’un autre poste. À ce titre, il ne doit pas recevoir d’instructions dans le cadre de l’exercice de ses missions de DPO. De même, il ne peut être sanctionné ou relevé de ses fonctions pour l’exercice de ses missions. 

‍