Nommer un DPO – plus qu’une simple formalité?

19/02/2025

Le RGPD oblige les entreprises et les organisations depuis plusieurs années à traiter correctement les données personnelles telles que celles des clients, des employés et des fournisseurs. Cela inclut, entre autres, l’élaboration et la mise à jour d’une politique de confidentialité et d’un registre de traitement. Cependant, il est moins connu que certains types d’entreprises sont également tenus de nommer un “data protection officer” (DPO).

Nous constatons en pratique que certaines entreprises désignent un DPO sans y être obligées, tandis que d’autres ne sont pas au courant de leur obligation de nommer un DPO.

Qu’est-ce qu’un DPO et que fait-il?

Un DPO est un expert indépendant qui conseille et surveille la conformité à la protection des données, ou “privacy”, au sein d’une entreprise.

Le DPO tient à jour les documents légalement obligatoires, accompagne l’entreprise en cas de fuite de données et répond aux questions des individus concernant le traitement de leurs données personnelles.

De plus, le DPO est impliqué dans les nouveaux projets ou activités de l’entreprise pour s’assurer qu’il n’y a pas de violations en matière de protection des données.

Enfin, le DPO est le point de contact pour toutes les questions relatives à la confidentialité, tant en interne qu’en externe (pour les employés, les clients, les fournisseurs et l’Autorité de protection des données).

Quelles entreprises et organisations doivent nommer un DPO?

Il y a souvent beaucoup d’incertitude à ce sujet en pratique. Il est erroné de penser que seule la taille ou l’activité de l’entreprise joue un rôle dans l’évaluation de l’obligation de nommer un DPO.

Un DPO est obligatoire dans trois cas:

  • Organisme public ou autorité publique. Dans ce cas, la nomination d’un DPO est obligatoire, quel que soit le type de données traitées. Les prestataires de services publics, ainsi que les organisations qui collaborent avec le gouvernement et traitent des données personnelles, sont également soumis à cette obligation.
  • Entreprises qui traitent systématiquement et à grande échelle des données personnelles telles que celles des clients ou des employés. Des exemples de ce type d’organisations sont les agences de marketing, les prestataires de services RH, certaines entreprises informatiques. Une analyse de l’ampleur et de la fréquence du traitement devra être effectuée pour déterminer si une nomination est nécessaire dans le cas concret.
  • Entreprises qui traitent des catégories “particulières” de données personnelles telles que des données de santé ou des données judiciaires. Des exemples classiques sont les hôpitaux ou les cabinets d’avocats.
Nomination volontaire d’un DPO est possible

Même si votre entreprise n’est pas légalement tenue de nommer un DPO, cela peut également se faire volontairement.

La nomination d’un DPO présente plusieurs avantages:

  • Renforcement de la confiance des clients. Les entreprises qui accordent de l’importance à la protection de la vie privée bénéficient d’une image plus positive auprès des clients et des fournisseurs.
  • Un traitement des données et des processus plus efficaces. Un point de contact central au sein de l’entreprise permet souvent de traiter la confidentialité de manière plus efficace, et donc aussi de manière plus économique.
Un DPO interne ou externe?

Le DPO peut être soit un membre du personnel, soit un tiers (par exemple, un avocat) qui exerce ses fonctions sur la base d’un contrat de service. Pour de nombreuses entreprises, la nomination d’un DPO externe sera une option financièrement plus attrayante – il n’est pas nécessaire d’embaucher un membre du personnel supplémentaire. Souvent, une mission à temps partiel peut également suffire pour répondre aux obligations du RGPD.

Vous n’êtes pas sûr aujourd’hui de devoir nommer un DPO?

Nous serons heureux d’examiner avec vous si la nomination d’un DPO est obligatoire et/ou utile. Notre cabinet dispose de plusieurs experts qui peuvent agir en tant que DPO externes et indépendants au sein de votre entreprise.

Pour toute question supplémentaire concernant la protection des données, vous pouvez contacter notre équipe juridique PKF BOFIDI. Nous serons heureux de vous aider.

Cet article a été rédigé par Lauranne Piotrowski.


Meer weten over

Subscribe to our newsletter

Receive insights in your mailbox

Subscribe