Votre délégué à la protection des données
Nommer un DPD (délégué à la protection des données) est une obligation pour les entreprises de plus de 250 personnes, les services publics (mairies, communauté de communes) ou les organismes publics (EPHAD, …).
C’est aussi une obligation si votre société traite des données sensibles telles que les données médicales, juridiques, relatives à des mineurs, etc…
Fiche de Poste : le DPD
Éléments généraux
Le DPD aura à traiter des domaines de nature très différente. Son profil se rapproche fortement de celui de l’ancien CIL. Le DPD devra avoir des compétences :
- en matière de système d’information. Il devra être à même de prendre en compte en autres la sécurité informatique, les risques de production, les risques d’architecture du SI.
- en matière juridique. Il devra être à même de comprendre la RGPD et de l’interpréter dans le cadre de la mission qui lui est confiée.
- en matière organisationnelle. La RGPD ne se limitant pas aux données numériques, il devra être à même de comprendre le fonctionnement des différents services utilisant des données personnelles.
- en matière de métier de l’organisme ou de la collectivité.
- en matière d’écoute et d’analyse. Une bonne part du travail du DPD relève de l’audit et du conseil.
Il n’existe pas de diplôme pour exercer une mission de DPD. Ce dernier devra cependant se mettre régulièrement à jour de ses connaissances.
Le DPD ayant à agir de façon généralement indépendante, potentiellement conflictuelle sur des données potentiellement sensibles, il devra garantir autant que faire se peut un haut niveau d’objectivité, d’intégrité et d’indépendance. Il doit pouvoir garantir la confidentialité de son travail.
Le DPD n’a pas de compte à rendre à un supérieur hiérarchique dans le cadre de sa mission.
Mission du DPD
Analyser et mettre en œuvre ce qui est nécessaire pour que l’organisme qui l’a missionné soit en conformité avec la RGPD.
- Mettre en place un processus continu d’audit RGPD des traitements.
- Sensibiliser, informer, diffuser la culture du respect des protections des données personnelles dans le cadre général de “Informatique & Liberté” :
- définir, mener, piloter, des actions visant à sensibiliser tous les intervenants de l’organisme (direction, collaborateurs, tiers) en matière de respect et de protection des données à caractère personnel ;
- assurer le bon déroulement du processus d’audit RGPD
- s’assurer que les personnes dont on gère des données personnelles font l’objet d’une information explicite du traitement et de leurs droits et que leur consentement est éclairé.
- Veiller au respect de la loi : le DPD jouit d’une indépendance hiérarchique dans le cadre de sa mission pour les actions ayant trait au respect de la RGPD. Il veille à son respect ainsi qu’autres autres dispositions pouvant être liées à la RGPD. Ses actions s’adresset au responsable du traitement ou éventuels sous-traitants et prestataires.
- Le DPD conseille les directions métiers, le responsable de traitement en matière de respect de la loi, et émet des analyses, avis et recommandations motivés et documentés. Pour mener à bien sa mission, il doit avoir à sa disposition toutes informations ou moyens adaquats.
- Le DPD est étroitement impliqué dans toutes décisions ou analyses traitant des études d’impacts sur la vie privée, des choix d’architecture liés au principe “Privacy by Design”, d’éventuelles notifications en cas de fuite de données.
- Le DPD est obligatoirement consulté lors de la mise en œuvre ou la modification importante d’un traitement. Il produira alors d’éventuelles recommandations.
- Le DPD a la mission d’informer, de responsabiliser et/ou d’alerter le responsable de traitement en matière de risque opérationnel ou de non-respect de ses recommandations. En cas de nécessité, il peut exiger un arbitrage selon une procédure formalisée.
- Le DPD a une mission d’audit / contrôle continu en matière de protection des données. Il agit en toute indépendance sur toutes les actions lui permettant de juger le niveau de conformité RPGD. Il vérifie le cadre légal et la bonne application du processus RGPD et de ses procédures ou consignes.
- Le DPD maintient à jour tous les éléments nécessaire au respect du principe “d’accountability”, en particulier le registre des traitements. Il garantit l’accès et l’intégrité de ce registre à l’autorité de contrôle.
- Le DPD est un médiateur des personnes concernées. En cas de réclamation, il reçoit, analyse et traite les doléances et veille au respect du droit des personnes. Il met en œuvre les actions définies par le processus de doléances RGPD.
- Le DPD présente un rapport annuel de ses actions et des difficultés rencontrées.
- Le DPD est l’interlocuteur privilégié de l’autorité de contrôle. Sa communication avec l’autorité de contrôle se fait en toute indépendance, en particulier (surtout) dans le cadre de l’article 36 (risque élevé de violation du règlement).
- Si le DPD est amené d’autres tâches que cette mission, ceci devrait se faire dans un cadre sans risque de conflits d’intérêts.
- Le DPD n’endosse pas la responsabilité juridique du responsable de traitement en ce qui concerne la conformation RGPD.
En savoir plus sur cette fiche de poste
Si vous avez besoin d’un DPD / DPO externalisé, nous pouvons vous aider : contactez-nous !
Les qualifications de notre consultant
- docteur en informatique
- formation juridique :
- droit des technologies de l’information
- métier du délégué à la protection des données
- consultant auprès des DSI depuis 1997
- diplômé de 3ème cycle et intervenant à l’école supérieure de commerce Brest Business School