Le 25 mai prochain entrera en vigueur le désormais célèbre règlement général sur la protection des données (RGPD). Ce texte prévoit en substance qu’il reviendra aux entreprises utilisant des fichiers à caractère nominatif de prendre toutes les dispositions permettant d’en assurer la sécurité et une gestion conforme à la réglementation applicable. Une nouvelle responsabilité qui sera plus sûrement assumée si l’entreprise vient à confier cette mission d’analyse et de surveillance à un délégué à la protection des données. Un délégué que les entreprises ont désormais la possibilité de désigner directement sur le site de la Cnil.

Obligatoire dans certains cas

Toutes les entreprises n’ont pas l’obligation de désigner un DPO. Seules doivent le faire celles qui, dans le cadre de leurs activités de base sont tenues de réaliser « un suivi régulier et systématique à grande échelle » des personnes fichées (un établissement de soins tenant un fichier de patients, une entreprise en charge d’assurer la sécurité de lieux accueillant du public gérant des fichiers d’entrée-sortie, des vidéos…). Ou celles qui, dans le cadre de leurs activités de base, effectuent à grande échelle un traitement de données dites sensibles (opinions politiques, religieuses, données biométriques…) ou « relatives à des condamnations pénales ou à des infractions ».

Pour autant, même si elles n’en ont pas l’obligation, les entreprises qui gèrent d’importants fichiers à caractère nominatif, comme, par exemple, celles qui font du e-commerce ou qui hébergent des données ont tout intérêt, selon la Cnil, à désigner un DPO. Interne ou externe à l’entreprise, ce dernier doit, bien entendu, disposer de compétences juridiques spécialisées, connaître les métiers et le fonctionnement de l’entreprise, mais aussi disposer des moyens d’effectuer ces missions (temps et moyens matériels suffisants, capacité d’agir en toute indépendance).

Pour rappel, le DPO est là pour conseiller le chef d’entreprise sur ses obligations légales en matière de protection des données, contrôler le respect de la réglementation, mais aussi coopérer avec l’autorité de contrôle, à savoir la Cnil.

Les Echos Publishing 2017