Le DPO (Data Protection Officer), ou délégué à la protection des données en français, est la personne chargée de veiller au respect du RGPD au sein d’un organisme. Sa mission principale est d’informer et de conseiller le responsable de traitement et les salariés, de contrôler la conformité des traitements de données à caractère personnel, et de coopérer avec l’autorité de contrôle.
Le RGPD (articles 37 à 39) rend sa désignation obligatoire dans trois cas : pour les autorités et organismes publics, lorsque l’activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou un traitement à grande échelle de données dites sensibles (santé, opinions, données biométriques…). En dehors de ces situations, désigner un DPO reste vivement recommandé et constitue une bonne pratique de gouvernance.
Le délégué exerce ses missions en toute indépendance : il ne reçoit aucune instruction sur la manière de les remplir, rend compte au plus haut niveau de la direction et ne doit pas se trouver en situation de conflit d’intérêts. Il peut être un salarié interne ou un prestataire externe. Il est le point de contact privilégié de l’autorité de contrôle (la CNIL en France) ainsi que des personnes concernées qui souhaitent exercer leurs droits (accès, rectification, effacement, portabilité).
Pour mener à bien son rôle, le DPO s’appuie sur des outils de conformité tels que le registre des traitements, le suivi des demandes d’exercice de droits et un journal d’audit traçable. eyeot intègre ce type de fonctions, qui facilitent le travail quotidien du délégué et la démonstration de la conformité en cas de contrôle. On distingue le DPO, qui est une personne, de l’accord de traitement (DPA), qui est un contrat liant un responsable de traitement à son sous-traitant.