Fonctions du DPO : l'entreprise avait tout faux

Fonctions du DPO : l'entreprise avait tout faux

Introduction

Dans un contexte où la protection des données personnelles est devenue cruciale, le rôle du Délégué à la Protection des Données (DPO) est souvent mal compris ou sous-estimé par les entreprises. L'article de la revue Expertises d'avril 2025 met en lumière une enquête menée par l'autorité norvégienne de protection des données, Datatilsynet, qui révèle des manquements significatifs dans la gestion des fonctions du DPO par une société mère d'un groupe d'entreprises.

Contexte de l'enquête

Suite à plusieurs signalements anonymes, Datatilsynet a initié une mission de contrôle pour évaluer la conformité de la société mère aux exigences relatives au DPO. L'enquête a révélé que la société agissait à la fois comme responsable du traitement, sous-traitant et parfois responsable conjoint du traitement avec ses filiales. Cette multiplicité de rôles a soulevé des questions sur la clarté et l'efficacité de la gestion des données personnelles.

Problèmes identifiés par Datatilsynet

1. Association du DPO aux questions de protection des données

Datatilsynet a constaté que le DPO n'était pas associé de manière appropriée et en temps utile aux questions relatives à la protection des données personnelles. Cela soulève des préoccupations quant à l'efficacité de la supervision et de la gestion des risques liés aux données.

2. Ressources allouées au DPO

Le DPO occupait également un poste de juriste, consacrant seulement 50% de son temps à la protection des données. Datatilsynet a jugé cette allocation de ressources insuffisante pour assurer une protection adéquate des données.

3. Indépendance et clarté des rôles

L'autorité a également noté que la société mère n'avait pas effectué toutes les évaluations nécessaires concernant l'indépendance du DPO. De plus, la distinction entre les rôles du DPO et du juriste n'était pas suffisamment claire, ce qui pourrait compromettre l'objectivité et l'efficacité du DPO.

Conclusion

Cette enquête souligne l'importance d'une gestion claire et efficace des fonctions du DPO. Les entreprises doivent s'assurer que le DPO dispose des ressources nécessaires et qu'il est impliqué de manière proactive dans toutes les questions de protection des données.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Assurez-vous que le DPO est impliqué dès le début dans toutes les questions de protection des données.

- Allouez suffisamment de ressources pour que le DPO puisse se consacrer pleinement à ses fonctions.

- Établissez une distinction claire entre les rôles du DPO et d'autres fonctions pour garantir son indépendance.

- Effectuez régulièrement des évaluations pour vérifier l'efficacité et l'indépendance du DPO.