La GDPR entrera en vigueur le 28 mai prochain, date à laquelle l’ensemble des entreprises traitant des données devront se mettre en conformité, notamment par le biais de la nomination d’un DPO (Data Protection Officer). Mais toutes les entreprises n’auront pas l’obligation de nommer un DPO…
Le DPO (Data Protection Officer) est un nouveau métier créé par la GDPR. Mais il est encore souvent mal cerné par les entreprises qui se posent la question de la nécessité d’une telle nomination au sein de leur structure.
Le DPO fait partie des mesures imposées par la mise en application de la GDPR, le règlement européen sur la protection des données personnelles. Son rôle est en partie dérivé du CIL (Correspondant Informatique et Libertés) français, avec cependant une mission élargie, en particulier au conseil les instances de l’entreprise, au contrôle du respect du règlement, et à la représentation de l’entreprise auprès des autorités de contrôle.
Les quatre missions du DPO
- L’élaboration d’un code de conduite pour l’application des règles de protection des données personnelles (conseillé mais non obligatoire dans les textes) ;
- La notification en cas de fuite de données ‘grave’ (le texte n’explicite pas ce terme…) auprès des autorités nationales de protection des données, avec la responsabilité probable d’en informer nominativement chacune des victimes ;
- L’évaluation d’impact sur les activités qui peuvent avoir des conséquences en matière de protection des données, avec la prise de mesures visant à réduire les dommages potentiels ;
- La veille, en particulier sur les interprétations du Règlement européen qui ne manqueront pas d’arriver avec le Comité européen de la protection des données (European Data Protection Board), mais aussi sur les compléments aux textes européens que les autorités locales ne manqueront pas d’ajouter au GDPR.
L’infographie « Doit-on nommer un DPO ? »
L’infographie que nous propose MEGA devrait vous permettre d’un rapide coup d’œil de comprendre si votre entreprise est concernée.