Délégué à la protection des données : vérités et contre-vérités

Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai dernier. Ce texte crée une nouvelle profession, le délégué à la protection des données (DPO 1), qui suscite plusieurs interrogations de la part des chefs d'entreprise : à quoi sert-il vraiment ? Qui est-il ? Dois-je obligatoirement en désigner un ?... Faisons le point pour dénoncer les contre-vérités qui circulent.
11:0011/07/2018
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
revue
Retrouvez ce dossier dans notre revue Batiment Actualité
Batiment Actualité Numéro 12 | Juillet 2018
Voir ce numéro >

Qu'est-ce qu'un DPO ? À quoi sert-il ?

C'est une personne ou une société spécialiste des questions relatives aux données personnelles.

Elle intervient auprès d'une entreprise pour :

  • informer et conseiller : le DPO aide l'entreprise à se mettre en conformité avec le RGPD (tenue du registre des traitements, élaboration des analyses d'impact et mise en place d'une politique de protection des données personnelles);
  • contrôler : le DPO vérifie que l'entreprise respecte à tout moment les règles;
  • jouer le rôle de relais : le DPO est l'interlocuteur privilégié :
    • de la CNIL (en cas de contrôle dans vos locaux),
    • des personnes concernées par les traitements de données de l'entreprise (vos clients, salariés, prospects...), lorsque celles-ci veulent exercer leurs droits légaux (droits d'accès, de rectification ou de suppression de leurs données).

 

Devez-vous obligatoirement désigner un DPO ?

NON!

Depuis l'entrée en vigueur du RGPD :

  • des prestataires souhaitent vous vendre leurs services de DPO, en affirmant que le RGPD vous y oblige;
  • des maîtres d'ouvrage ou entreprises principales vous demandent, « au titre de vos obligations légales », de désigner un DPO dans un bref délai.

Vous n'êtes pas contraint de répondre favorablement à ces demandes.

En effet, rien n'indique qu'une entreprise de bâtiment telle que la vôtre (surtout s'il s'agit d'une TPE/PME) soit tenue de désigner un DPO.

Le RGPD ne l'impose en effet qu'aux :

  • personnes du secteur public (administrations, collectivités...);
  • entités traitant massivement des données sensibles (race, vie et orientation sexuelles, opinions politiques, religieuses, syndicales ou philosophiques, données de santé, condamnations pénales). C'est le cas, par exemple, des établissements de santé et des forces de l'ordre;
  • entités traitant en masse des données personnelles (établissements bancaires, compagnies d'assurances, caisses de congés payés, caisses de retraite et sociétés mutuelles, agences de voyages, sociétés de sécurité privée, fournisseurs de services de télécommunications).

Dans tous les autres cas, la nomination est facultative : vous êtes donc libre de choisir de nommer (ou non) un DPO.

 

Qui peut être désigné DPO ?

Un salarié (qui peut cumuler ce rôle avec d'autres fonctions) ou un prestataire (avocat, cabinet-conseil, expert en protection des données personnelles...).

Le DPO doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances en droit et des pratiques en matière de protection des données personnelles. On ne peut donc pas nommer n'importe quelle personne.

En outre, le DPO doit être indépendant, soumis à une obligation de confidentialité (ou au secret professionnel) et exempt de tout conflit d'intérêts.

À noter que les entreprises organisées sous forme de groupes de sociétés peuvent désigner un seul DPO pour tout le groupe, à condition que ce dernier soit facilement joignable à partir de chaque entité.

 

Si vous souhaitez nommer un DPO, comment vous assurer de sa qualité ?

  • Assurez-vous que le DPO que vous choisissez justifie d'une certification reconnue (le projet de certification de la CNIL est en cours d'élaboration);
  • encadrez précisément la mission de votre DPO. Des modèles de lettre de mission, de fiche de poste et de charte déontologique sont disponibles auprès de votre fédération.

Comment se déroule la mission du DPO au sein de l'entreprise ?

Le DPO doit être associé à toutes les questions relatives à la protection des données personnelles au sein de l'entreprise : projets de prospection, création de nouveaux fichiers, mise en place de nouveaux dispositifs de sécurité, etc.

Rien n’indique que nommer un DPO soit obligatoire.Aussi, vous êtes libre d’en désigner un ou pas !

RGPD, Attention aux escroqueries !

LA CNIL ALERTE les entreprises sur des messages par mail, fax et téléphone les invitant à se mettre en conformité avec le règlement général sur la protection des données (RGPD).

Il s'agit d'une arnaque visant à inciter les destinataires à rappeler un numéro surtaxé et/ou à leur faire signer un engagement frauduleux.

N'Y RÉPONDEZ PAS !

En cas de doute, contactez votre fédération ou la CNIL au 01 59 73 22 22

  1. DPO : data protection officer.

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter