Skip to content

Cliquez ici pour reprendre votre démarche

Se connecter
    01 76 39 00 60
    Fiches pratiques Gérer une entreprise RGPD Tout savoir sur le DPO en 2024

    Tout savoir sur le DPO en 2024

    Téléchargez notre fiche pratique
    S K

    Sophie Klym

    Diplômée d'un Master en droit international et européen.

    Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a profondément modifié les pratiques des entreprises relatives au traitement des données personnelles.

    Instaurant de nouvelles obligations juridiques, le RGPD impose notamment la mention de certaines informations sur votre site internet, notamment des mentions légales, mais oblige aussi certaines entreprises à procéder à la désignation d’un Délégué à la Protection des Données ou DPO. Ce professionnel de la gestion des données personnelles se voit confier le rôle de garant de la conformité au règlement.

    DPO, RGPD, quelles définitions ? Quelles sont les missions et obligations d’un DPO ? Comment devenir délégué à la protection des données ? Legalstart répond à toutes vos questions sur ce nouveau poste en pleine évolution.

    Mini-Sommaire

    Qu’est-ce qu’un DPO ?

    Pour tout comprendre sur le DPO et le RGPD, revenons tout d’abord sur leurs définitions respectives.

    Que veut dire RGPD ? 

    Le RGPD, ou Règlement Général sur la Protection des Données, est un règlement européen entré en vigueur le 25 mai 2018. Ce texte instaure un cadre juridique unique sur le traitement et la protection des données personnelles dans l’Union européenne.

    Face aux nouvelles pratiques des entreprises (essor du numérique, expansion des sites de commerce en ligne…), le texte vise à la fois à :

    • renforcer les droits des citoyens concernant les traitements effectués sur leurs données (droit d’accès, droit de rectification, droit à l’oubli…) ; 

    • créer de nouvelles responsabilités et obligations pour les entreprises traitant des données, notamment la réglementation sur les cookies informatiques et la désignation d’un DPO.

    Le RGPD s’inscrit dans la continuité de la Loi Informatique et Libertés du 6 janvier 1978.

    Que veut dire DPO ?

    La création du métier de délégué à la protection des données, plus connu sous le nom de DPO (Data Protection Officer en anglais) est une des avancées principales du RGPD.

    Le DPO est, par définition, la personne chargée de s’assurer que chaque traitement de données réalisé par l’entreprise soit conforme au RGPD. La désignation d’un DPO, selon le RGPD, est obligatoire dans certains organismes.

    La désignation d’un DPO dans une entreprise est-elle obligatoire ?

    Quelles entreprises doivent avoir un DPO ?

    Les entreprises concernées par la désignation d’un DPO sont bien entendu les entreprises concernées par le RGPD. Mais quels sont ces organismes et entreprises ? Indépendamment de sa taille, de son lieu d’implantation ou de son activité, tout organisme est concerné par le RGPD dès lors qu’il traite des données personnelles et qu’il :
    • est établi sur le territoire de l’Union européenne ;
    • ou exerce une activité à destination des résidents de l’Union européenne.

    Les sous-traitants amenés à traiter des données personnelles pour le compte d’autres organismes doivent également respecter le RGPD.

    📝 À noter : le RGPD s’applique aux associations dès lors qu’elles traitent des données personnelles (adhérents, participants, etc.).

    DPO : obligatoire ?

    L’article 37 du RGPD prévoit que le DPO est obligatoire au sein :

    • des autorités publiques et organismes publics (ministères, établissements publics, collectivités territoriales, enseignement supérieur, hôpitaux, etc.), à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

    • des entreprises dont l’activité principale exige un suivi régulier et systématique des personnes à grande échelle (banques ou compagnies d’assurance, par exemple) ;

    • des entreprises amenées à traiter à grande échelle des données sensibles (relatives à la santé, à l'origine raciale ou ethnique, aux opinions politiques, à l'appartenance syndicale…) ou des données relatives à des condamnations pénales ou à des infractions.

    Si la désignation d’un DPO n’est pas obligatoire dans les autres cas, elle est fortement recommandée et encouragée.

    📝 À noter : le RGPD ne précise pas de seuil de “traitement de données à grande échelle” au-delà duquel une entreprise à l’obligation de désigner un DPO. De même, le règlement ne précise pas la notion de “suivi régulier et systématique”. La désignation du DPO se fait au cas par cas, et il convient de se référer aux exemples et lignes directrices de la CNIL en cas de doutes.

    Si une entreprise ne respecte pas l’obligation de nomination d’un DPO, elle s’expose à une sanction de la CNIL telle que :

    • un rappel à l’ordre ;
    • une injonction de mise en conformité ;
    • ou une amende administrative pouvant aller jusqu’à 10 millions d’euros.

    Qui est le DPO dans une entreprise ?

    Bien qu’il n’existe pas de formation de DPO, le RGPD précise que le délégué à la protection des données doit être désigné sur la base de ses qualités professionnelles, de ses connaissances spécifiques et de sa capacité à accomplir ses missions.

    ☝️ Bon à savoir : d’après une étude menée par la CNIL et l’AFPA en 2020, les DPO en poste ont :

    • à 28 % un profil informatique ;
    • à 28 % un profil juridique ;
    • à 43 % un profil issu de l’administratif, de la finance, de la conformité ou de l’audit.

    Le DPO peut être une personne externe ou interne à l’entreprise. S’il est assez courant que les grandes entreprises désignent un DPO en interne, les organismes, quelle que soit leur taille, ont la possibilité de recourir à un prestataire externe afin de mutualiser leurs coûts.

    Comment devenir DPO ?

    Si vous vous demandez comment devenir DPO, sachez que ce professionnel de la conformité doit pouvoir justifier de certaines compétences, de moyens suffisants et d'une capacité à agir en toute indépendance. 

    ⚠️ Attention : sachez que vous devez pouvoir prouver que la personne désignée comme DPO au sein de votre entreprise dispose des compétences requises pour ce poste. La CNIL est susceptible de demander des justifications lors d’un contrôle. 

    Les compétences requises

    Le futur DPO doit disposer de connaissances approfondies du droit et des pratiques en matière de protection des données personnelles

    Il doit bien connaître le secteur d’activité et l’organisation de l’entreprise l’ayant désigné (types de traitement réalisés, systèmes d’information, nécessités en matière de protection et de sécurité des données).

    Il est aussi attendu de lui une aptitude à communiquer efficacement et une importante éthique professionnelle.

    Des moyens suffisants

    Pour être désigné DPO, la personne doit :

    • disposer de suffisamment de temps pour accomplir ses missions ;
    • obtenir des moyens matériels et humains adaptés ;
    • pouvoir accéder à toutes les informations nécessaires ;
    • être positionné efficacement au sein de son entreprise.

    Une capacité à agir en toute indépendance

    Le DPO doit pouvoir exercer ses missions en toute indépendance : il ne peut exister aucun conflit d’intérêts avec ses autres missions.

    Par exemple, un élu politique ne peut être DPO pour sa collectivité, car il participe aux décisions pour le traitement de ces données.

    ☝️ Bon à savoir : la CNIL propose des certifications de compétences pour les DPO. La certification n’est pas requise pour être désigné DPO. De même, il n’est pas nécessaire d’être désigné DPO pour demander la certification des compétences du DPO.

    dpo (1)

    Quelles sont les missions d’un DPO ? 

    La mission du DPO, selon le RGPD, consiste à s’assurer que l’organisme l’ayant désigné traite les données personnelles en conformité avec RGPD. Pour mener à bien sa mission, il est notamment chargé de :

    • informer et conseiller le responsable de traitement des données de son organisme (ou le sous-traitant) et les employés sur toutes les obligations qui s’imposent à eux en vertu du RGPD ;

    • contrôler la bonne application de la réglementation (RGPD, droit européen, droit national…) en matière de protection des données ;

    • proposer à l’organisme de réaliser une analyse d'impact relative à la protection des données et veiller à sa bonne exécution ;

    • coopérer avec la CNIL ;

    • être l’interlocuteur de toute personne concernée par un traitement de données personnelles.

    Quelles sont les obligations d’un DPO ?

    Afin de conduire son organisme vers sa mise en conformité au RGPD, le DPO est tenu de :

    • cartographier les traitements de données effectués par l’organisme ;
    • prioriser les actions à mener pour conformer son organisme au RGPD ;
    • gérer les risques en menant, pour chaque traitement, une analyse d'impact relative à la protection des données ;
    • organiser des procédures internes visant à garantir la protection des données traitées ;
    • rassembler la documentation nécessaire afin de prouver, en cas de contrôle, la conformité de son organisme au RGPD.

    ⚠️ Important : le DPO ne peut pas être tenu personnellement responsable si son entreprise ne se conforme pas au RGPD.

    FAQ

    Que signifie DPO ?

    Le sigle DPO a pour signification Data Protection Officer en anglais ou Délégué à la Protection des Données en français. Désigné par un organisme en interne ou en externe, le DPO est le garant de la conformité au RGPD en matière de protection des données personnelles.

    Selon le RGPD, quel est le rôle d’un DPO ? 

    Le DPO a pour rôle principal de s’assurer que son organisme traite les données personnelles en conformité avec le RGPD et respecte toutes les obligations qui lui incombent en matière de protection des données.

    Qui peut devenir délégué à la protection des données ?

    Pour devenir délégué à la protection des données, il est nécessaire d’avoir des connaissances spécifiques en droit et en matière de protection des données. Le DPO doit disposer de moyens suffisants et d'une capacité à agir en toute indépendance. 

    Principale source réglementaire : 

    Note du document :

    5,0 - 2 vote(s)

    SK

    Sophie Klym

    Diplômée d'un Master en droit international et européen.

    Fiche mise à jour le

    Vous avez des questions ?

    Prenez rendez-vous avec un expert

    Ces articles pourraient aussi vous intéresser

    • Tout savoir sur la Consent Management Platform

      Tout savoir sur la Consent Management Platform

      Lire la suite
    • Protection des données personnelles : le guide ultime

      Protection des données personnelles : le guide ultime

      La protection des données personnelles interpelle aujourd’hui les consommateurs. Legalstart vous éclaire sur les points clefs de ce sujet épineux !
      Lire la suite
    • Se servir des données clients à l’heure du RGPD

      Se servir des données clients à l’heure du RGPD

      Lire la suite
    • Qui est concerné par le RGPD : le guide pour comprendre

      Qui est concerné par le RGPD : le guide pour comprendre

      Vous récoltez des informations sur vos clients telles que leurs adresses mail ou leurs noms ? Découvrez qui est concerné par le RGPD !
      Lire la suite
    • Données personnelles : les bonnes pratiques

      Données personnelles : les bonnes pratiques

      Les données personnelles sont de plus en plus réglementées. De nombreuses obligations doivent être respectées par les entrepreneurs. On fait le point.
      Lire la suite
    • Collecte de leads et RGPD : comment être en règle ?

      Collecte de leads et RGPD : comment être en règle ?

      La collecte de leads suppose le respect de multiples obligations éditées par le RGPD. Découvrez toutes les pratiques à adopter pour être en règle.
      Lire la suite
    Prenez rendez-vous avec un expert