L’Union Européenne a établi un nouveau règlement en vigueur depuis 2018 afin d’assurer la protection des données personnelles de ses citoyens et résidents. Ce règlement est connu sous le nom de RGPD ou Règlement Général sur la Protection des Données. Son rôle principal est d’assurer que les données personnelles ne tombent pas entre les mains de malfaiteurs comme les pirates informatiques et les terroristes qui peuvent s’en servir à des fins dévastatrices. Une des règles du RGPD exige la désignation d’un délégué à la protection de données ou Data Protection Officer ou DPO pour certains organismes.
RGPD
Le RGPD est donc un type de règlement qui est instauré dans le but de protéger les données personnelles des citoyens et résidents de l’Union Européenne, que le traitement de ces données soit effectué dans le territoire ou encore en dehors du territoire. Mais qu’es-ce exactement une données personnelle ? En fait, une donnée personnelle est une donnée à caractère personnel propre à une personne, et qui peut permettre de l’identifier. Cela peut être un nom, une adresse, une photo, un numéro de téléphone, une adresse IP, un profil social, etc. Ce genre de données peut être utilisé par des malfaiteurs pour usurper une identité par exemple, ou encore pour causer du tort à une personne particulière. C’est ainsi que le RGPD est instauré, est donc, toute entité qui traite des données propres à des citoyens ou encore résidents de l’Union Européenne, est tenue de se soumettre à ce règlement. En cas de défaut, des sanctions sont déjà établies par la Commission Nationale de l’Informatique et des Libertés ou CNIL. Une obligation imposée par le règlement est la désignation d’un DPO. Quelles sont les fonctions de ce délégué ? Et quelle formation RGPD doit-il suivre ?
Fonctions d’un DPO
Selon le RGPD, pour certaines entités, il est primordial de savoir que la désignation d’un DPO est obligatoire, notamment pour celles qui collectent et traitent des données personnelles à très grande échelle comme les collectivités territoriales par exemple. Mais pour d’autres entités, la désignation d’un DPO n’est pas obligatoire mais toujours fortement recommandée par la CNIL. Ce délégué peut être interne à l’entité, c’est-à dire faisant partie de son personnel interne, ou encore externe à l’organisme, souvent en tant que consultant externe, et donc il peut servir plusieurs organismes à la fois. Mais quoi qu’il en soit, ses fonctions restent les mêmes. Il est en charge d’instaurer des mesures et des systèmes qui permettent de protéger de façon maximale les données personnelles collectées et traitées par l’entité qu’il sert, notamment en matière de transparence. De plus, il s’assure de la sécurité maximale des locaux et des systèmes d’informations qui collectent les données personnelles. Il est aussi en charge de faire en sorte que les données collectées et traitées par l’organisme soient limitées, et de veiller à ce que ce dernier prévoit un délai de conservation des données, et aussi des mesures relatives à ces données une fois le délai est écoulé. Enfin, il est chargé de la formation du personnel en matière de législation informatique et libertés.
Formation DPO
Les rôles d’un DPO sont assez complexes et délicats. Et donc, afin de certifié que chaque candidat est prêt à assumer le rôle, un examen de certification est prévu pour tous les candidats au poste de DPO. Ces prétendants DPO doivent primordialement suivre une formation particulière pour imprégner leur rôle et réussir l’examen. Il existe plusieurs formations qui se proposent à eux. Des formateurs, expérimentés en matière de protection de données et en informatique et libertés, proposent des formations soit courtes soit longues dédiées aux DPO internes ou externes. En guise d’exemple, le cabinet de conseil Anaxil propose une formation dpo qui est labélisée par la CNIL.