DPO (RGPD) : définition, obligations, missions
Qu'est-ce qu'un DPO ?
Le DPO, pour « Data Protection Officer », est une personne en charge de la protection des données personnelles traitées par un organisme (administration, entreprise...). Il s'agit d'un nouveau métier porté par le RGPD, le règlement européen sur la protection des données, dont l'entrée en vigueur est intervenue le 25 mai 2018. Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.
Les missions du DPO consistent à informer, conseiller et former le responsable du traitement de données (ou son sous-traitant) ainsi que ses employés. Il leur précise les obligations qu'ils doivent respecter au regard de la réglementation européenne, dont il contrôle la bonne application. Il coopère également avec la CNIL, dont il est un interlocuteur privilégié. Le DPO sert donc principalement à permettre à un organisme effectuant des traitements de données personnelles de s'assurer qu'il respecte bien la réglementation applicable à leur protection.
Le DPO peut être un salarié du responsable de traitement de données ou du sous-traitant. Mais il peut aussi accomplir ses missions en signant un contrat de service.
Le DPO est prévu aux articles 37, 38 et 39 du RGPD. L'article 37 mentionne les cas dans lesquels il est obligatoire ainsi que ses modalités de désignation. Les articles 38 et 39 définissent respectivement sa fonction et ses missions. Vous pouvez accéder à ces articles en ligne en consultant le texte du RGPD.
Qui doit nommer un DPO ?
Les organismes concernés par l'obligation de nommer un DPO sont mentionnés à l'article 37 du RGPD.
Administrations
Le premier cas concerne les traitements de données personnelles effectués par un organisme public ou une autorité publique (hormis les juridictions). L'obligation concernera donc toutes les structures publiques effectuant des traitements de données personnelles : l'Etat, les collectivités territoriales, etc.
Entreprises
Mais l'obligation de nommer un DPO concerne aussi un très grand nombre d'entreprises. Le champ d'application posé par l'article 37 du RGPD est en effet très large, puisque seront concernées les entreprises dont les activités de base consistent :
- soit en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- soit en un traitement à grande échelle de catégories particulières de données visées à l'article 9 (qui regroupent des données « sensibles » : origines raciales ou ethniques, convictions politiques ou religieuses, etc.) et de données personnelles liées à des condamnations pénales et à des infractions visées à l'article 10.
Il est notamment tenu compte de la nature de l'activité de l'entreprise, du nombre de personnes concernées ainsi que du volume de données traitées. Le règlement ne précise toutefois pas de seuils minimaux à partir desquels l'obligation de recourir à un DPO s'applique : les grands groupes sont bien sûr visés, mais un grand nombre de PME seront également concernées, notamment parmi celles spécialisées dans le e-commerce. L'étendue de l'obligation apparaît ainsi très large.
Un groupe d'entreprises peut nommer un seul DPO.
Faut-il un DPO interne ou externe ?
Le recours au DPO représente naturellement un coût supplémentaire pour l'entreprise (en particulier pour les PME). Si les grandes sociétés recherchent et recrutent des DPO, les entreprises n'ont toutefois pas l'obligation d'embaucher un DPO à temps plein : il n'est pas nécessaire que ce dernier soit un membre du personnel. Il peut ainsi accomplir ses missions sur la base d'un contrat de service. Les entreprises concernées par les nouvelles obligations peuvent donc choisir d'externaliser leur DPO.
Juridique et social
- Dpo définition
- Dpo signification
- Dpo rgpd
- Smic 2022 : montant du Smic net et brut, mensuel et horaire
- Calcul du salaire brut en net : simulation 2022 net et brut
- Tarifs SACEM et SPRE : grilles et barèmes 2021
- Plafond de la Sécurité sociale 2022 : montant
- Différence entre entreprise et société : définitions
- Paiement du salaire : les droits du salarié
- Comment trouver les statuts d'une société
- Port du voile au travail : ce que dit la loi
- Contacter l'Urssaf par téléphone : les numéros
- Taux des cotisations sociales sur les salaires 2022
- Entraide familiale et contrat de travail : règles légales
- Enseignes et publicité extérieure : règles d'affichage et loi
- Minimum garanti 2022 : montant
- Convention collective sur le bulletin de salaire : mentions
- Délais de paiement d'un fournisseur (légal et contractuel) : sanctions et pénalités
- RGPD et données personnelles : définition, obligations, Cnil
- Etat d'endettement d'une entreprise : demande en ligne
- Numéro Siret : rechercher le Siret d'une entreprise
- Kbis : demande d'extrait Kbis gratuit en ligne
- Responsabilité des dettes et entreprise individuelle
- Soldes : droits du consommateur et réglementation
- Index égalité hommes - femmes : calcul et obligations
- Mentions obligatoires d'une facture : obligations et sanctions
- Mutuelle santé d'entreprise obligatoire : les règles légales
- Remplacement d'un salarié par un intérimaire : conditions
- Dépôt des comptes simplifié et confidentiel TPE-PME : greffe
- Réduction Fillon : calcul de la réduction générale de charges
- Durée de conservation des papiers et documents d'une entreprise
- DSN obligatoire : définition et dates
- DPAE (ex-DUE) : définition, déclaration en ligne, formulaire, délai
- Bénéficiaire effectif : définition et formulaire de déclaration
- Accord collectif, d'entreprise, de branche : définition