Depuis l’entrée en vigueur du RGPD, la CNIL préconise aux entreprises et aux organisations de nommer un DPO. La gestion des données personnelles est un sujet très sensible, il est donc important de désigner un DPO efficace pour les gérer correctement.
Quel est le rôle du DPO ?
Le DPO, dont l’acronyme signifie “Data Protection Officier” est la personne chargée de la gestion des données à caractère personnel d’une organisation ou d’une entreprise.
Dans certaines situations, l’organisme peut avoir l’obligation de désigner un DPO. C’est par exemple le cas pour les entreprises qui traitent des données à caractère personnel à grande échelle (les opérateurs téléphoniques par exemple).
Choisir son DPO n’est donc pas une décision à prendre à la légère. La personne désignée devra répondre à plusieurs critères pour être la plus efficace possible dans son travail de conformité RGPD.
Si l’entreprise n’est pas conforme, elle s’expose à des amendes pouvant atteindre 4% de son chiffre d’affaires.
Désigner un DPO interne ou un DPO externe
Pour désigner un DPO, deux choix s’offrent à vous.
Nommer un DPO interne
Les entreprises ont la possibilité de nommer une personne interne à leurs services en tant que DPO. Pour autant, un DPO interne devra avoir du temps disponible à consacrer à ses nouvelles missions. Il devra également se former, afin de connaître toutes les subtilités de la gestion des données à caractère personnel.
Désigner un DPO externe
L’alternative est de désigner un DPO externe. Expert dans son domaine, il saura vous conseiller et vous aider à mettre en place les actions nécessaires pour la mise en conformité de votre entreprise ou de votre organisation.
Également appelés consultants RGPD, les DPO externes proposent leurs services dans de nombreuses villes. Ainsi, suivant votre localisation, vous pourrez nommer un DPO Angers, à Paris, à Lille ou n’importe où en France.
Contrairement au DPO interne, choisir l’externalisation permet de déléguer sa conformité à un expert qui a de l’expérience.
Choisir son DPO : les points essentiels
Que votre choix se porte sur un DPO interne ou externe, certaines qualités seront requises afin d’obtenir une bonne conformité RGPD.
S’assurer que la personne choisie est qualifiée
La personne désignée devra impérativement avoir des connaissances liées à la gestion des données à caractère personnel ainsi que des notions de droit. Au vu de l’évolution du RGPD au fil du temps, les recommandations peuvent rapidement évoluer : la personne choisie devra se tenir à jour sur les attentes du RGPD.
Connaissance du secteur d’activité de l’entreprise
Il est conseillé que le DPO désigné ait des connaissances concernant le secteur d’activité de l’entreprise. En effet, certains secteurs ont des spécificités propres à eux. Si vous désignez un DPO externe, il se pourrait qu’il n’ait encore jamais rencontré ce cas de figure.
Avoir de la disponibilité et être réactif
Choisir une personne réactive est très important. Lors de certaines situations, telles qu’une fuite de données à caractère personnel, il sera nécessaire d’agir vite pour régler le problème.
Être indépendant et impartial
Afin de préconiser les actions nécessaires, il faut éviter que le DPO choisi soit impliqué émotionnellement. En effet, un DPO interne peut ne pas être impartial. Au contraire, un DPO externe sera totalement neutre dans sa prise de décision, ce qui lui permettra de faire les meilleurs choix.
