Qui est le Data Protection Officer (dit DPO) ? Episode 1
Il s’appelait CIL (Correspondant Informatique et Libertés) et « devient » DPO en mai 2018, et ce n’est pas qu’un changement de nom !
Temps de lecture : 2min30
Juste Cause 2018 – Crédits Illustrations : Juste Cause – windawake / shutterstock
![data-protection-officer-episode-1-juste-cause DPO legal design](https://www.justecause.fr/wp-content/uploads/2018/03/data-protection-officer-episode-1-juste-cause.png)
Le Correspondant Informatique et Libertés (CIL) devient le Data Protection Officer (Délégué à la Protection des Données…donc on devrait dire DPD…mais vous entendrez plus parler de DPO, that’s life !) et il est LE personnage central du règlement européen sur la protection des données (le désormais célèbre RGPD, infographie RGPD à consulter ici).
![hello voici le Data Protection Officer JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/hello-225x225.png)
![arrivee-cartons arrivée du Data Protection Officer JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/arrivee-cartons-225x225.png)
Pour résumer, le DPO va être le M. / Mme Données Personnelles. Il/elle va coordonner en interne et en externe tous les sujets données personnelles : gestion, traitement, conseil et coopération avec l’autorité de contrôle (la CNIL).
Quelle est la différence entre CIL et DPO ?
Le DPO doit être un expert de la règlementation et des pratiques de protection des données.
![soucis un expert JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/soucis-225x225.png)
Il a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement.
![alerte-sensibilistation conseil et sensibilisation JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/alerte-sensibilistation-225x225.png)
Il doit être intégré en amont à toutes questions touchant aux données personnelles.
![reussite intégré en amont JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/reussite-225x225.png)
Et, différence majeure : le DPO est parfois obligatoire…
Dans quels cas le DPO est-il obligatoire ?
Dans les organismes publics et dans les autorités publiques (à l’exception des juridictions)
![organisme-public organisme et autorite publics JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/organisme-public-300x300.png)
Pour un traitement à grande échelle, régulier et systématique des données personnelles
![grande-echelle traitement à grande échelle JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/grande-echelle-225x225.png)
Pour un traitement des données « sensibles » (santé, religion, condamnations pénales…)
![thermometre données sensibles JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/thermometre-225x225.png)
Les lignes directrices concernant les DPO donnent – heureusement – des explications et des exemples pour cerner un peu mieux les notions utilisées, « activité de base » et « traitement à grande échelle » :
- A quoi correspond une « activité de base » ?
Une société de sécurité privée qui a pour activité la surveillance d’espaces privés et publics doit désigner un DPO car son activité principale est inséparable du traitement de données à caractère personnel
![securite-surveillance un agent de surveillance JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/securite-surveillance-110x136.png)
La rémunération des employés est une activité accessoire incontournable dans toute entreprise. A ce titre, elle ne justifie pas à elle seule la désignation d’un DPO
![fonction-auxiliaire la fonction auxiliaire nécessaire JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/fonction-auxiliaire-190x216.png)
- Concernant le « traitement à grande échelle », à ce stade, pas de seuil déterminé. Mais, toujours selon Les lignes directrices, certains éléments doivent être pris en considération pour savoir s’il s’agit d’un traitement à grande échelle :
– le nombre d’individus concernés
![nombre-individus volume d'individus JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/nombre-individus-150x150.png)
– le volume de données traitées
![volume-donnees volume de donnees JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/volume-donnees-150x150.png)
– la durée de l’activité de traitement
![chrono-temps](https://www.justecause.fr/wp-content/uploads/2017/12/chrono-temps-150x150.png)
– l’étendue géographique du traitement
![etendue-geographique l'etendue geographique JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/etendue-geographique-150x150.png)
Là aussi, Les lignes directrices concernant le DPO nous donnent quelques exemples :
- Exemples de traitement à grande échelle :
Traitement des données clients par une compagnie d’assurance ou une banque pour son activité
![banque-assurance les banques et assurances JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/banque-assurance-225x225.png)
Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale
![moteur-de-recherche moteur de recherche web JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/moteur-de-recherche-225x225.png)
- Ne sont pas des traitements à grande échelle :
Traitement par un médecin exerçant à titre individuel, des données à caractère personnel de ses patients
![medecin-avec-trousse un medecin JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/medecin-avec-trousse-225x225.png)
Traitement des données personnelles relatives aux infractions par un avocat exerçant à titre individuel.
![cabinet-avocat-avec-robe un avocat JUSTE CAUSE](https://www.justecause.fr/wp-content/uploads/2018/03/cabinet-avocat-avec-robe-300x300.png)
Hormis ces cas, il est toujours possible de nommer un DPO, mais il faudra alors respecter les modalités du règlement le concernant. Il peut, depuis le 28 mars, être désigné sur le site de la CNIL.
Quoi qu’il en soit il est recommandé d’avoir un référent « données personnelles » dans l’entreprise.
- On 27 mars 2018