Le RGPD oblige les entreprises et les organisations depuis plusieurs années à traiter correctement les données personnelles telles que celles des clients, des employés et des fournisseurs. Cela inclut, entre autres, l’élaboration et la mise à jour d’une politique de confidentialité et d’un registre de traitement. Cependant, il est moins connu que certains types d’entreprises sont également tenus de nommer un “data protection officer” (DPO).
Nous constatons en pratique que certaines entreprises désignent un DPO sans y être obligées, tandis que d’autres ne sont pas au courant de leur obligation de nommer un DPO.
Un DPO est un expert indépendant qui conseille et surveille la conformité à la protection des données, ou “privacy”, au sein d’une entreprise.
Le DPO tient à jour les documents légalement obligatoires, accompagne l’entreprise en cas de fuite de données et répond aux questions des individus concernant le traitement de leurs données personnelles.
De plus, le DPO est impliqué dans les nouveaux projets ou activités de l’entreprise pour s’assurer qu’il n’y a pas de violations en matière de protection des données.
Enfin, le DPO est le point de contact pour toutes les questions relatives à la confidentialité, tant en interne qu’en externe (pour les employés, les clients, les fournisseurs et l’Autorité de protection des données).
Il y a souvent beaucoup d’incertitude à ce sujet en pratique. Il est erroné de penser que seule la taille ou l’activité de l’entreprise joue un rôle dans l’évaluation de l’obligation de nommer un DPO.
Un DPO est obligatoire dans trois cas:
Même si votre entreprise n’est pas légalement tenue de nommer un DPO, cela peut également se faire volontairement.
La nomination d’un DPO présente plusieurs avantages:
Le DPO peut être soit un membre du personnel, soit un tiers (par exemple, un avocat) qui exerce ses fonctions sur la base d’un contrat de service. Pour de nombreuses entreprises, la nomination d’un DPO externe sera une option financièrement plus attrayante – il n’est pas nécessaire d’embaucher un membre du personnel supplémentaire. Souvent, une mission à temps partiel peut également suffire pour répondre aux obligations du RGPD.
Nous serons heureux d’examiner avec vous si la nomination d’un DPO est obligatoire et/ou utile. Notre cabinet dispose de plusieurs experts qui peuvent agir en tant que DPO externes et indépendants au sein de votre entreprise.
Pour toute question supplémentaire concernant la protection des données, vous pouvez contacter notre équipe juridique PKF BOFIDI. Nous serons heureux de vous aider.
Cet article a été rédigé par Lauranne Piotrowski.