RGPD pour entrepreneur #3 : Qui est le responsable ?

par | 19 avril 2018 | Actus et humeur | 1 commentaire

RGPD-3-responsable-DPO

Pour ce 3ème volet de ma série d’articles pour la mise en conformité des entrepreneurs au RGPD, je vous propose de rentrer dans le vif du sujet. Avec un angle un peu inattendu je vous l’accorde, mais la demande de désignation d’un pilote (DPO) par la CNIL sème la confusion.

La CNIL demande la désignation d’un pilote

Pour commencer, la CNIL demande que vous désigniez votre Délégué à la Protection des Données (appelé DPO). Cette personne a pour mission de contrôler que votre gestion des données personnelles est conforme à la règlementation, de vous informer et de vous conseiller. En clair, en cas de contrôle, la CNIL vous demandera qui est votre DPO, c’est son correspondant privilégié.

Qui peut être DPO ?

N’est pas DPO qui veut, et celui-ci doit remplir certaines conditions. Pour commencer, le DPO doit pouvoir agir en tout indépendance. Il ne doit donc pas y avoir de conflit d’intérêt possible, par exemple :

Si vous êtes le responsable de votre structure, vous ne pouvez pas être son DPO.

Ce qui est plutôt gênant pour les indépendants. Le DPO peut alors être externe, mais cela va forcement occasionner des coûts, et risque d’être un tantinet compliqué car celui-ci doit avoir une bonne connaissance de votre activité, et être associé en amont à vos projets impliquant des données personnelles. Difficile à envisager.

Sinon le DPO peut également être un de vos salariés si vous en avez. Il faut dans ce cas qu’il dispose du temps nécessaire pour cette mission, et qu’il ait une expertise juridique, ou soit formé pour, et dans ce cas, pourquoi pas.

Suis-je obligé de désigner un DPO ?

En fait, vous n’êtes dans l’obligation de désigner un DPO que si vous êtes un organisme public, ou que vous êtes une entreprise dont l’activité de base consiste à manipuler :

  • des données personnelles à grande échelle
  • des données personnelles sensibles (santé, affinité religieuse ou politique…)
  • des données personnelles relatives à des condamnations pénales ou infractions

Bon, autant dire que nous sommes finalement assez peu d’entrepreneurs à être concernés.

Même si vous n’êtes pas dans l’obligation de désigner un DPO, la CNIL vous recommande de désigner une personne en interne chargée de s’assurer de la conformité au règlement européen, et de faire le lien avec eux afin de réduire les risques de contentieux. Le RGPD est un sujet à prendre très au sérieux, il est donc préférable que quelqu’un s’en occupe. Vous pouvez désigner une personne apte et de confiance en interne chez vous pour le faire si possible, sinon, il ne vous reste plus qu’à vous y coller.

Évidemment, si vous êtes indépendant, la CNIL n’aura pas à chercher bien longtemps à qui parler !

​​Abonnez-vous !

​​pour être informé des prochaines publications du blog

​Ce formulaire est conforme au RGPD, en savoir plus

Qui est responsable ?

En cas de contrôle, la CNIL va donc commencer par vous demander qui est votre DPO (son contact chez vous). Si vous en avez un, elle va prendre contact et échanger avec lui (ou elle). Et si votre traitement des données personnelles n’est pas conforme à la règlementation, le DPO ne pourra pas être tenu responsable, il n’a qu’un rôle de conseil.

DPO ou non, la responsabilité va au responsable juridique

Pour conclure, si votre structure le permet, vous pouvez désigner un DPO même si la loi ne vous y oblige pas (le responsable marketing ou communication généralement). Cela permet d’avoir quelqu’un qui s’occupe de la mise en conformité au RGPD, de faire le bon élève et de montrer sa volonté de bien faire si la CNIL se présente.

Sinon, si vous êtes indépendant ou que la désignation d’un DPO en interne chez vous est complexe à mettre en place, pas de souci si la loi ne vous y oblige pas. Le tout étant d’avoir un traitement des données personnelles conforme à ce que demande la CNIL, et d’avoir de quoi le prouver en cas de contrôle.

Le prochain article sera donc un exercice pratique ; nous allons commencer la réalisation des documents demandés, en répondant évidement aux questions qu’ils soulèvent ; c’est en bûchant qu’on devient bûcheron !

Sortez vos crayons et une feuille blanche (ou un tableau Excel hein), et abonnez-vous au blog si ça n’est pas déjà fait.

 

Lire l’article suivant > Comment établir une cartographie ?

Ces articles peuvent également vous intéresser

1 Commentaire

  1. Marie-Laure Voisard
    Marie-Laure Voisard sur 19 avril 2018 à 10 h 55 min

    Toujours aussi intéressant et pas trop lourd à lire, ni stressant… Merci Comunentrepreneur et toi Laurent.

    Réponse

Poster le commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

img-pdf-site-business-g3

​Comment développer et
pérenniser votre business ?

​Voici un plan d'action ​concret
en 5 étapes.

Un condensé de plus de 15 ans d'expérience.

 ​RECEVOIR LE PLAN D'ACTION