Qui est le Data Protection Officer (dit DPO) ? Episode 1
Il s’appelait CIL (Correspondant Informatique et Libertés) et « devient » DPO en mai 2018, et ce n’est pas qu’un changement de nom !
Temps de lecture : 2min30
Juste Cause 2018 – Crédits Illustrations : Juste Cause – windawake / shutterstock
Le Correspondant Informatique et Libertés (CIL) devient le Data Protection Officer (Délégué à la Protection des Données…donc on devrait dire DPD…mais vous entendrez plus parler de DPO, that’s life !) et il est LE personnage central du règlement européen sur la protection des données (le désormais célèbre RGPD, infographie RGPD à consulter ici).
Pour résumer, le DPO va être le M. / Mme Données Personnelles. Il/elle va coordonner en interne et en externe tous les sujets données personnelles : gestion, traitement, conseil et coopération avec l’autorité de contrôle (la CNIL).
Quelle est la différence entre CIL et DPO ?
Le DPO doit être un expert de la règlementation et des pratiques de protection des données.
Il a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement.
Il doit être intégré en amont à toutes questions touchant aux données personnelles.
Et, différence majeure : le DPO est parfois obligatoire…
Dans quels cas le DPO est-il obligatoire ?
Dans les organismes publics et dans les autorités publiques (à l’exception des juridictions)
Pour un traitement à grande échelle, régulier et systématique des données personnelles
Pour un traitement des données « sensibles » (santé, religion, condamnations pénales…)
Les lignes directrices concernant les DPO donnent – heureusement – des explications et des exemples pour cerner un peu mieux les notions utilisées, « activité de base » et « traitement à grande échelle » :
- A quoi correspond une « activité de base » ?
Une société de sécurité privée qui a pour activité la surveillance d’espaces privés et publics doit désigner un DPO car son activité principale est inséparable du traitement de données à caractère personnel
La rémunération des employés est une activité accessoire incontournable dans toute entreprise. A ce titre, elle ne justifie pas à elle seule la désignation d’un DPO
- Concernant le « traitement à grande échelle », à ce stade, pas de seuil déterminé. Mais, toujours selon Les lignes directrices, certains éléments doivent être pris en considération pour savoir s’il s’agit d’un traitement à grande échelle :
– le nombre d’individus concernés
– le volume de données traitées
– la durée de l’activité de traitement
– l’étendue géographique du traitement
Là aussi, Les lignes directrices concernant le DPO nous donnent quelques exemples :
- Exemples de traitement à grande échelle :
Traitement des données clients par une compagnie d’assurance ou une banque pour son activité
Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale
- Ne sont pas des traitements à grande échelle :
Traitement par un médecin exerçant à titre individuel, des données à caractère personnel de ses patients
Traitement des données personnelles relatives aux infractions par un avocat exerçant à titre individuel.
Hormis ces cas, il est toujours possible de nommer un DPO, mais il faudra alors respecter les modalités du règlement le concernant. Il peut, depuis le 28 mars, être désigné sur le site de la CNIL.
Quoi qu’il en soit il est recommandé d’avoir un référent « données personnelles » dans l’entreprise.
- On 27 mars 2018