Checklist de désignation d’un DPD / DPO (Délégué à la Protection des données)
Checklist de désignation d’un DPD / DPO (Délégué à la Protection des données)

Checklist de désignation d’un DPD / DPO (Délégué à la Protection des données)

La nomination d’un délégué à la protection des données n’est pas
toujours obligatoire. Cette checklist vous aide à y voir plus clair.

Cas où la nomination est obligatoire (cas non exclusifs les uns des autres)

  • vous êtes une autorité ou un organisme public,
  • vous réalisez un suivi régulier et systématique des personnes à grande échelle,
  • vous traitez des données dites « sensibles » (médicales, syndicales ou politiques, orientation sexuelle, biométriques, génétiques, religieuses, sur des mineurs, …) ou relatives à des condamnations pénales et infractions

Si vous êtes dans l’un de ces cas, la désignation d’un DPD est obligatoire depuis le  mai 2018. Dans tous les autres cas, elle est recommandée si vous stockez des données à caractère personnel (de vos clients, collaborateurs, fournisseurs, etc…).

Compétences attendues pour le DPD

Le délégué à la protection des données doit au mieux vérifier les éléments de compétence suivants :

  • personne maîtrisant la communication écrite et présentielle
  • personne maîtrisant les problématiques des systèmes d’information
  • personne maîtrisant les problématiques juridiques de la protection des données
  • personne apte à comprendre les différents métiers de l’établissement
  • personne apte à comprendre les processus de l’établissement

Indépendance du DPD

Le délégué à la protection des données doit impérativement vérifier les éléments d’indépendance suivants :

  • personne hiérarchiquement indépendante dans le cadre de l’exercice de sa mission
  • personne fonctionnellement indépendante dans le cadre de l’exercice de sa mission

Conflit d’intérêts

La notion de conflit d’intérêts peut exister par exemple par rapport aux fonctions suivantes : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, etc…

Le délégué à la protection des données doit être au maximum protégé contre tout conflit d’intérêts.

Moyens

  • moyens humains suffisants (jours / homme affectés à la tâche)
  • moyens financiers suffisants (pour payer des audits ciblés par exemple)
  • accès aux éléments nécessaires

Désignation interne ou externe

  • existe-t-il en interne une personne répondant aujourd’hui aux pré-requis ci-dessus ? Dans un futur proche ?
  • si non, le DPD/DPO externe pressenti répond-il aux pré-requis ci-dessus ?

 

DPD/DPO externalisé