Le dpo ou data protection officer est un poste récemment imposé par la Commission Nationale de l’Informatique et des Libertés ou CNIL. Il concerne la règlementation générale sur la protection des données ou grpd le 25 mai 2018. La responsabilité se base sur la protection des données informatiques au niveau des secteurs publics et privés. Cependant, le délégué à la protection des données doit posséder une compétence technique pour effectuer la démarche de mise en conformité de la sécurité informatique. Le salarié de l’entreprise, le juriste ou le consultant peuvent incarner ce rôle.
Sommaire
DPO RGPD : quels rôles doit jouer le responsable de la sécurité informatique ?
La Commission Nationale a désigné un correspondant pour gérer le système informatique, pour la conformité de l’entreprise. Le dpo rgpd doit donc avant tout être lié avec l’entreprise, ainsi qu’avec ses employés pour être conforme au règlement. Il a l’autorité de contrôle sur les prestataires et règlemente le traitement des données personnelles. Voir ici les formalités de démarche de conformité du dpo rgpd.
L’utilisation des données
Le dpo rgpd est élu pour utiliser les données informatiques de l’entreprise. C’est le premier responsable concernant la gestion des données avec un suivi régulier. Il a par ailleurs un libre accès aux données personnelles de l’entreprise, et à la vérification de toutes les informations diffusées.
Le stockage des données
Le responsable de la sécurité des systèmes d’information a pour rôle primordial de protéger les données à caractère personnel. Il doit conserver la sécurité informatique de l’entreprise et doit obligatoirement tenir un registre pour une meilleure conformité.
La récupération des informations
Le dpo rgpd est efficace pour la récupération des informations perdues que ce soit par erreur ou en cas de violation. Il doit se porter garant de la conservation et de la protection des données.
Procéder au placement du dpo
La nécessité du dpo rgpd au sein de l’organisme public ou privé est décidée entre la CNIL et l’organisme lui-même. Les entreprises commerciales sont les plus concernées. Toutefois, la décision finale sur la nécessité de placer un délégué à la protection des données revient à la CNIL. Le dpo rgpd obligatoire touche quelques formes d’entreprises :
- Les autorités
- Les organismes publics comme les ministères, les établissements publics, les collectivités locales.
- Les organismes qui effectuent principalement le suivi des personnes de grande envergure en raison de leurs activités de base
- Les organismes qui traitent à grande échelle des données sensibles comme les données politiques ou médicales
- Les organismes qui traitent à un degré élevé des données relatives à des condamnations pénales ou à des infractions
Les responsabilités en interne ou en externe
Le placement du dpo rgpd ou du dpo rgpd obligatoire présente deux principes : soit le délégué est choisi au sein de l’entreprise même ou en dehors de l’entreprise, ce qui reste conforme au règlement, soit le manager de la sécurité et des risques de l’information doit posséder des qualités professionnelles juridiques, en cybersécurité, une excellente maîtrise de l’informatique, le sens de la communication, et des spécialités en cryptologie.
Le choix du dpo interne
L’option du dpo interne fait allusion à des qualifications spécialisées sur l’entreprise. La communication au sein des différents services permet un acte rapide en data protection. Le choix du dpo interne se penche vers les grandes entreprises à fort personnel, où le responsable doit répondre aux exigences de protection requises.
Le choix du dpo externe
Le dpo externalisé sera le délégué compétent et capable de gérer les données personnelles de l’entreprise. Dans ce cas, il est à la fois un travailleur indépendant, mais doit se rapprocher du chef d’entreprise pour faciliter le traitement automatisé de données.
2