Pour gérer vos consentements :
Categories: Régulations

RGPD : où sont les limites de la fonction DPO ?

Un DPO peut-il faire l’objet de poursuites au civil dans l’exercice de ses missions ? Tout dépend s’il est salarié ou externe. Dans le premier cas, la réponse est non, en application du principe de la responsabilité de l’employeur. Dans le deuxième, en revanche, c’est possible, en cas de faute professionnelle ayant occasionné préjudice pour un responsable de traitement.

La Cnil fournit ces explications dans un « guide du DPO » fraîchement publié. Elle y aborde bien d’autres sujets, sous deux angles. D’un côté, accompagner les organismes dans la mise en place de cette fonction. De l’autre, aider à sa réalisation.

Au gré des fiches nourries de FAQ et d’encadrés, se dessine une fonction aux contours parfois flous. En particulier sur son périmètre d’action. Un certain nombre d’activités qui n’incombent en théorie pas au DPO peuvent lui revenir dans la pratique. Il en est ainsi, notamment, de la tenue du registre des traitements. Ou de la rédaction des règles internes.

Il existe aussi du flou sur des notions que le DPO est amené à appréhender. Illustration avec le « traitement à grande échelle » et le « suivi régulier et systématique ». Ce dernier n’est pas défini dans le RGPD, qui donne toutefois un exemple : le profilage en ligne à des fins de publicité comportementale.

DPO : attention aux conflits d’intérêts

Le guide de la Cnil ne manque pas non plus d’exemples. Sur les « traitements à grande échelle », on va du cas des partis politiques à celui des petits commerçants vs la grande distribution. Pour préciser les « activités de base », c’est celui d’une clinique.

La notion de conflit d’intérêt occupe également une part importante. Avec, entre autres thèmes traités :

– Peut-on désigner comme DPO un avocat ? un RSSI ? un représentant du personnel ?
– Une personne morale peut-elle être sous-traitante et DPO pour un même organisme ?
– Un DPO peut-il représenter seul son organisme auprès de la Cnil lors d’une audition sur convocation ?

La Cnil s’intéresse aussi à l’aspect contractualisation. Plus particulièrement lors du recours à des prestataires de services externes et/ou à des DPO mutualisés. Et rappelle les sanctions auxquelles s’exposent les organismes qui n’en auraient pas nommé un alors que la loi le leur impose : une amende pouvant atteindre 10 M€ ou 2 % du C. A. annuel.

* Une étude KPMG publiée en début d’année laissait apparaître un faible taux de DPO externes dans les entreprises françaises (7 %). Et un recours limité (10 %) aux prestataires externes pour coordonner les actions de mise en conformité.

DPO : fonction ou métier ?
Les deux, selon l’AFPA (Agence nationale pour la formation professionnelle). Fonction au sens où il s’agit d’un statut au sein d’une organisation, désigné en interne et auprès de la Cnil. Métier, car son exercice répond à une structuration de compétences singulières dans un domaine professionnel.


Photo d’illustration © Olivier Le Moal – Shutterstock

Recent Posts

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

4 heures ago

Automatisation et emploi : pourquoi l’Europe peut mieux faire

Impactés par l'automatisation, 12 millions d'emplois seraient détruits dans 5 pays d'Europe, d'ici 2040. La…

10 heures ago

Green IT : 10 chiffres sur l’empreinte écologique

L'ADEME et l'Arcep ont remis au Gouvernement leur rapport sur l'empreinte environnementale du numérique en…

10 heures ago

Cisco : 4 certifications qui rapportent

Dans les technologies et les réseaux, une expertise certifiée peut faire la différence. Les certifications…

1 jour ago

WeTransfer vers une valorisation de 716 millions €

Le service de transfert et de stockage de fichiers WeTransfer sera évalué entre 629 et…

1 jour ago

Threat intelligence : VirusTotal tente de valoriser les IoC

VirusTotal (plate-forme de renseignement sur les menaces) a récemment introduit le principe des « collections…

1 jour ago