Votre entreprise a-t-elle besoin d’un DPO ?

Un DPO ou Data Protection Officer vérifie si les données de votre entreprise sont traitées de manière conforme aux règles du RGPD. A priori, cette nouvelle fonction a sa raison d’être dans toute organisation. Toutefois, la décision de créer pour ce faire une fonction distincte dépend d’un certain nombre de facteurs. Nous vous expliquons plus en détail quels sont ces facteurs et quelle est la valeur ajoutée d’un DPO.

beeld_artikel-dpo

Quelles sont les tâches principales d’un DPO ?

Les tâches d’un Data Protection Officer sont très diverses. En premier lieu, le DPO vous informe et vous conseille sur vos obligations en tant que responsable du traitement ou personne traitant elle-même les données. Par ailleurs, il veille également au respect des obligations légales et suit de près les nouveaux développements relatifs à la protection des données.

En outre, le DPO sera votre personne de contact pour l’autorité de contrôle. Il coopérera avec celle-ci en cas de plainte ou de contrôle. Le DPO vous assistera aussi dans le cadre de la création d’un registre d’activités de traitement, de la réalisation d’une étude d’impact relative à la protection des données, de la mise en œuvre de nouvelles, etc.

Quel est le profil idéal ?

Le rôle de DPO se situe au carrefour de différents domaines de compétence (informatique, législation, qualité, RH et finances) et cette fonction peut aussi bien être assurée par une personne interne qu’externe. Si vous nommez une personne interne comme DPO, il ne peut y avoir le moindre conflit d’intérêt. Par exemple, le gérant ne peut pas assumer le rôle de Data Protection Officer.

En plus de ses connaissances techniques et de son expérience en matière d’audit et de gestion de projets, le Data Protection Officer doit également posséder des qualités interpersonnelles essentielles. Parce que la protection des données est avant tout une question de changement de mentalité et d’habitudes, votre entreprise a besoin de pouvoir compter sur un réel soutien. Il ou elle doit donc aussi faire preuve d’empathie, d’aptitudes à la communication, de capacités de collaboration, d’éthique et d’intégrité.

Un DPO est-il légalement obligatoire ?

La nomination d’un Data Protection Officer n’est pas toujours un choix. Selon le RGPD, la désignation d’un DPO est obligatoire dans trois cas spécifiques, par exemple si vous :

  • Êtes une autorité ou un organisme public.
  • Traitez des catégories particulières de données personnelles ou pénales à grande échelle et qu’il s’agit de votre activité principale.
  • Observez régulièrement et systématiquement les personnes concernées à grande échelle et qu’il s’agit de votre activité principale.

Quand parle-t-on ‘d’activité principale’ ?

Lorsque le traitement de données personnelles est nécessaire aux finalités de votre entreprise. Exemple : l’activité principale d’un hôpital est la fourniture de soins. Le traitement de données personnelles est nécessaire à la finalité de l’hôpital, à savoir la prise en charge de patients.

Qu’entend-on par ‘à grande échelle’ ?

Il n’est pas possible de donner un chiffre précis pour le concept de ‘à grande échelle’. Pour apprécier si un traitement est effectué à grande échelle, il faut tenir compte de la répartition territoriale, du nombre de données traitées et des personnes concernées, de la durée de l’activité, …

Exemple : Le traitement de données à caractère personnel par une banque est considéré comme traitement ‘à grande échelle’. Le traitement de données personnelles par un médecin, en revanche, ne l’est pas.

Pas obligatoire, mais conseillé

Si, en tant qu’entreprise, vous n’êtes pas obligé de nommer un Data Protection Officer, c’est tout de même recommandé. La nomination d’un DPO indique clairement que vous prenez au sérieux la protection de la vie privée et des données, ce qui renforce l’image positive de votre entreprise.

Il est vrai que la désignation d’un DPO entraîne des coûts considérables. Une bonne analyse des coûts versus avantages est donc importante. Pour vous y aider, nous avons élaboré 5 KPI de sécurité des données, qui vous permettent de contrôler, de suivre et d’ajuster les activités de votre DPO. Vous pouvez ainsi transformer ce poste de coût en bon investissement pour votre entreprise.

 

 

  2791