D’après l’article 37.5 du règlement européen, le délégué est désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir (ses)] missions ». Dans ce qui suit, on se focalisera sur les missions d'un délégué à la protection des données et comment le devenir.
Qui peut devenir délégué à la protection des données ?
Aujourd’hui, le recours au service d’un dpo est obligatoire pour :
- Tout organisme public ou autorité publique.
- Tout organisme qui traite et réalise un suivi régulier des données sensibles à grande échelle.
- Tout organisme dont les activités de base l'amènent à traiter des données sensibles à grande échelle.
Même si la désignation n’est pas obligatoire, les membres du G29 recommandent aux organismes de confier les tâches liées au traitement des données à un expert.
Pour ceux qui souhaitent devenir délégué à la protection, les qualités suivantes sont requises :
- L’aptitude à travailler et à communiquer en toute indépendance. Il ne doit pas y avoir de conflits d’intérêts avec les autres missions.
- Une bonne connaissance du secteur : opération de traitement, systèmes d’informations…
- Une expertise en législation et une bonne connaissance du monde juridique.
- Des qualités professionnelles et des connaissances spécifiques.
De même, il doit disposer des moyens matériels et organisationnels nécessaires pour mener à bien ses missions. Qui plus est, une formation RGPD est aussi indispensable qu’il ait un profil technique, juridique ou administratif.
Quelles sont les missions d’un DPO ?
Les missions du DPO sont bien définies dans les articles 38 et 39 du RGPD. En effet, la mission du délégué à la protection est un peu similaire à celle du CIL. Il a pour rôle de conseiller et de sensibiliser le responsable de traitement, le sous traitant et leurs employés sur les nouvelles obligations en vigueur. Ainsi, il est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme et de suivre le respect du règlement. Enfin, il doit gérer les interactions avec la CNIL et coopérer avec l’autorité de contrôle. Mais comment ? En facilitant l’accès par l’autorité aux documents et informations. Toutefois, il n’est pas responsable en cas de non-respect du règlement. C’est le responsable du traitement ou le sous-traitant qui est tenu d’effectuer la mise en conformité.
Le délégué peut être interne ou externe, désigné pour un ou plusieurs organismes. Dans ce dernier cas de figure, il est mutualisé. Pour finir, il peut exercer son activité à temps plein ou à temps partiel.
Quelle formation suivre pour devenir DPO ?
Le DPO est désigné sur la base de ses aptitudes professionnelles, ses connaissances spécialisées en droit de la protection des données personnelles et sa capacité à accomplir ses missions. Outre cela, une formation juridique sur le règlement européen vient compléter le profil. Et c’est d’ailleurs obligatoire.
Une bonne connaissance de l’outil informatique est aussi nécessaire. Et pour mener à bien ses missions, une bonne connaissance de l’organisation dans laquelle il travaille est un atout considérable. On tient aussi à noter que la CNIL organise une formation RGPD à destination des futurs délégués à la protection des données (DPO).
Attention, le délégué n’est pas un salarié, donc il n’est pas protégé par le Code du travail. Ainsi, pour le protéger des abus, le règlement prévoit qu’il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pendant l’exercice normal de ses fonctions. Néanmoins, il peut être licencié pour d’autres motifs : vol, faute grave… On tient aussi à remarquer que le délégué bénéficie du soutien de l’organisme qui le désigne et lui fournir les matériels nécessaires pour la réalisation de ses tâches.