La désignation d’un DPO est-elle obligatoire ?

Au terme du Règlement Général sur la Protection des Données (RGPD), les entreprises sont soumises à certaines obligations, notamment celle de désigner un référent en charge de la protection des données personnelles.

La désignation d’un DPO (Délégué à la Protection des Données) est notamment obligatoire dans les cas suivants :

• Lorsque le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public (ministères, collectivités territoriales, établissements publics, universités, etc.)
• Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet)
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.
• Pour tous les autres cas, la CNIL préconise fortement de désigner une personne qui sera chargée de s’assurer de la mise en conformité au RGPD.
  

  Ce responsable RGPD remplit plusieurs fonctions :

• Informer et conseiller le responsable de traitement (c’est-à-dire la personne morale qui détermine les finalités et les moyens de traitement des données) ou le sous-traitant et également les salariés qui procèdent au traitement sur les obligations qui leur incombent
• Contrôler le respect du règlement et du droit national en matière de protection des données
• Coopérer avec l’autorité de contrôle (CNIL) et être le point de contact entre les différentes personnes et métiers impliqués
• Assurer une veille juridique sur le contenu des nouvelles obligations
• Assurer une sensibilisation des équipes sur l’importance du RGPD
• Réaliser un inventaire détaillé des traitements de données de sa structure

Quelles sont les risques en cas de non-respect de cette obligation ?En cas de non-respect au RGPD, les entreprises risquent deux types de sanctions :

• Amende de 10 millions d’euros ou 2% du chiffre d’affaires mondial pour le non-respect des obligations administratives ou amende de 20 millions d’euros ou 4% du chiffre d’affaires mondial pour le non-respect des droits des personnes
• Sanctions pénales avec des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
  Outre l’aspect pécuniaire, d’autres risques sont à prendre à compte : mauvaise image de l’entreprise, difficultés face à une violation de données, etc.

SOYEZ CONFORME ET SEREIN, FAITES APPEL A BDL

Notre cabinet vous accompagne dans la mise en conformité de votre structure à la réglementation RGPD, à travers la réalisation d’un audit état des lieux de votre entreprise afin d’évaluer votre niveau de conformité puis de la mise en œuvre de procédures RGPD adaptées à vos besoins et à votre organisme.

Florine BEAUSSIRE – Responsable RGPD
Tél : 03 74 78 01 50
Email : [email protected]