DPO : Premier acteur dans la protection de vos données

En naviguant sur Internet, vous laissez des traces qui vont permettre à des entreprise et à des organismes d’établir des statistiques et de vous proposer ensuite des services correspondant à vos centres d’intérêt. Le RGPD responsabilise alors ces entreprises afin que les informations relatives à votre vie privée ainsi que vos informations personnelles soient protégées.

La nomination d’un DPO

Le Règlement Général sur la Protection des Données ou RGPD stipule qu’un organisme ou une entreprise responsable du traitement des données personnelles doit nommer un DPO ou Data Protection Officer.

L’obligation de nommer ou pas un DPO dépend de l’activité de l’entreprise, de la nature et du volume des données traitées. Si l’activité essentielle de l’entreprise consiste à collecter et à traiter les données sensibles à très grande échelle, elle est obligée de nommer un DPO.
Les organismes publics doivent également nommer un DPO quelle que soit la nature des données à caractère personnel collectées.

Les entreprises peuvent également prendre l’initiative de nommer un DPO sans qu’elles y soient obligées. Cette nomination va leur permettre de bénéficier de l’aide et de l’expertise de ce professionnel dans leur mise en conformité RGPD. La CNIL recommande également cette nomination pour la protection des données à caractère personnel et pour la sécurité informatique.

Le rôle du DPO RGPD

Les organismes qui doivent ou qui souhaitent nommer un DPO ont deux possibilités pour le faire. Soit, ils choisissent de nommer une personne salariée au sein de l’entreprise. Soit, ils nomment un DPO externe.

Le critère principal de sélection est que le DPO ne doit absolument pas avoir un conflit d’intérêts avec les activités de l’entreprise. Il doit être une personne étrangère :

  • au service informatique
  • à la direction des ressources humaines
  • à la direction générale

Le DPO RGPD va également organiser des séances d’informations et de sensibilisations. Lors des audits de mise en conformité RGPD, il va être l’interlocuteur des autorités de contrôle. En France, cette autorité est représentée par la CNIL (Commission nationale de l’informatique et libertés). Le DPO est aussi le référant de l’entreprise concernant la Loi Informatique et Libertés de 1978, c’est une loi française relative à la protection des données.

Le DPO RGPD va surveiller les analyses d’impact sur la protection des données personnelles et assister le responsable de traitement de données à caractère personnel lors de la tenue d’un registre de traitements. Il est le principal acteur qui garantit la sécurité des données collectées, et aide l’entreprise à rédiger la politique de confidentialité.

Amendes et sanctions relatives aux non-conformités RGPD

En cas de manquement aux règlements RGPD, les entreprises et les organismes peuvent se voir imposer des amendes pour non-conformité au RGPD.

D’autres sanctions peuvent être infligées au responsable de traitement et à ses sous-traitants comme :

  • l’ordre de mettre fin à la violation constatée par les autorités de contrôle
  • l’instruction d’ajuster dans un délai imposé le traitement et la conservation des données
  • imposer une limitation temporaire ou définitive du traitement des données
  • l’interdiction définitive de procéder à toute forme de collecte et des traitements de données

Pour procéder à des sanctions ou pour déterminer les amendes les autorités étudient chaque cas, et se basent sur un catalogue statuaire de critères pour les aider à prendre une décision. Elles doivent déterminer si l’infraction est intentionnelle ou pas. Et si l’entreprise a fait des efforts par rapport aux recommandations précédentes. Ces critères vont alléger ou alourdir les sanctions.

Les amendes peuvent s’élever jusqu’à 20 millions d’euros. Elles peuvent également être l’équivalent des 4% du chiffre d’affaires de l’année précédente. Pour trancher, les autorités optent pour le montant le plus élevé des deux options. De quoi faire prendre conscience les entreprises qui ont pris le RGPD à la légère, ou qui ont sous-estimé les mesures pour la protection de vos données.

Nous vous conseillons la nomination d’un DPO afin de leur permettre de bénéficier de l’aide et de l’expertise de ce professionnel dans le RGPD. La CNIL recommande également cette nomination pour la protection des données à caractère personnel et pour la sécurité informatique.