Le Délégué à la Protection des Données, pilote de la conformité des traitements de données au RGPD

Véritable pilote de la gouvernance de la protection des données, le délégué à la protection des données (DPD ou DPO - Data Protection Officer en anglais) assure la protection des données personnelles au sein de la structure du responsable ou des responsables de traitement l’ayant désigné.

 

 

Une désignation obligatoire

Selon l’article 37 §1 du RGPD, la désignation d’un DPO est obligatoire lorsque le traitement est effectué par une autorité publique ou un organisme public, ou encore lorsque l’activité de base de l’entreprise consiste à traiter, à grande échelle, des données exigeant un suivi régulier et systématique des personnes ou de données relatives à des condamnations pénales ou infractions.

Alors même que le RGPD institue ces trois cas obligatoires, la désignation d’un DPD dans les autres cas reste vivement conseillée.

 

            Une mutualisation possible

Au regard de l’article 37 §3 du RGPD, lorsque le responsable de traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul DPO peut être désigné pour plusieurs autorités ou organismes de ce type, en prenant en compte leur structure organisationnelle et leur taille.

Au regard de cette possibilité, l’Académie de Lille a choisi de proposer à l’ensemble des responsables de traitement de son ressort d’opter pour cette solution.

image.png

            Des missions bien définies

En tant que chef d’orchestre de la conformité de la protection des données, le DPO est doté de plusieurs missions (article 39 du RGPD) :

  • Informer, conseiller et accompagner au sein des services académiques (rectorat, DSDEN, CIO, circonscription), des établissements scolaires du 2nd et du 1er degré privé et du GIP afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles
  • Conseiller sur l’opportunité d’une étude d’impact pour certains traitements et en contrôler son exécution
  • Veiller au respect du règlement comme du droit national dans ce domaine
  • Alerter les responsables de traitement de tout risque que le non-respect de ses recommandations ou toute initiative des utilisateurs ou de concepteurs de traitement feraient courir à l’institution
  • Coopérer avec l’autorité de contrôle, à savoir la CNIL, et être son point de contact privilégié pour démontrer que les traitements sont conformes à la réglementation
  • Sensibiliser à la protection des données (RGPD, loi informatique et libertés)
  • Etablir et maintenir une documentation sur les traitements effectués
  • Analyser, auditer et contrôler, de manière indépendante, le respect du RGPD par l’Académie de Lille, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant
  • Piloter la production et la mise en œuvre de politiques, lignes directrices, procédures et règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées
  • Assurer la bonne gestion des demandes d’exercice de droits, réclamations et requêtes, formulées par des personnes concernées par les traitements, assurer de leur transmission aux services intéressés et apporter à ces derniers son conseil dans la réponse à fournir aux requérants
  • Présenter un rapport annuel.