• contact@oxiwiz.fr
  • 04 76 93 29 79

Le dpo peut-il être une personne de l'entreprise ou peut il être externalisé ?

publié le 22/08/2018


Le dpo peut-il être une personne de l'entreprise ou peut il être externalisé ?

Depuis le 25 mai 2018, l'Union européenne impose l’exécution du règlement sur la protection des données à caractère personnel (RGPD) ou plus connu en anglais sous le nom de general data protection regulation (GDPR). Toutes les entreprises qui collectent et traitent les informations personnelles de leurs clients ou de leurs employés sont concernées, notamment les géants du numérique comme : Facebook et Instagram. L’application du global data protection permet de sécuriser les informations privées des utilisateurs sur le web. Pour se conformer, les sociétés font appel à un data protection officer (DPO).

Avez-vous besoin de recruter un DPO externe ?

Afin de gérer le traitement des données personnelles, les organismes doivent faire appel à un data protection officer interne ou externe. Ce métier remplace celui du correspondant informatique et libertés désigné auparavant par la Commission nationale de l’informatique et des libertés (Cnil).

Si vous êtes un établissement public ou privé et vous traitez des informations jugées sensibles à grande échelle, vous devez absolument engager un délégué à la protection des données (DPO) externe. Expert en la matière, le DPO maîtrise la cartographie des données et la gestion des risques liés aux informations personnelles.

Le DPO n’est pas obligatoire pour les petites entreprises. Mais la CNIL le préconise vivement. Vous pouvez, dans ce cas-là, charger une personne interne disposant de connaissances en juridique et en informatique. Elle peut travailler à temps partiel, et ne doit pas se retrouver dans une situation de conflit d’intérêts.

Quel est le rôle d’un DPO ?

Le data protection officer est indispensable pour la mise en conformité de la société et le traitement des données à caractère personnel en rapport à l’identité des citoyens, leur origine, leurs opinions politiques, religieuses, etc.

Le DPO doit s’assurer que le règlement est bien appliqué par l’entité concernée. Il a pour mission de créer un registre de données. Ce registre contient toutes les activités et les traitements opérés sur les informations collectées. Tout doit être répertorié : l’enregistrement, le transfert, la date, la finalité du traitement et la suppression des informations. C’est cet inventaire qui sera soumis au contrôle de la Cnil.


auteur
sandrine