Le rôle du DPO dans le service public selon le RGPD
Selon les recommandations établies par le RGPD, l'agent occupant
le rôle de DPO dans le service public orchestre
l’exploitation, la gestion et la protection de données à caractère personnel. Ses responsabilités :
informer, sensibiliser et
conseiller les
responsables des traitements, leurs éventuels
sous-traitants et
les employés de l’entreprise qui procèdent au traitement, au regard des obligations qui leur incombent.
Gardien de la conformité réglementaire (assujetti à une exigence de formation et d’information régulières sur les évolutions), le DPO a pour missions de
recenser l’ensemble des traitements de l’entreprise
mettant en jeu des données personnelles, et d’en évaluer toutes les éventuelles conséquences sur le respect de la vie privée, en collaboration avec la direction générale.
Savoir mesurer les impacts potentiels et protéger les données personnelles
Soumis à une obligation de
confidentialité, il
évalue la nécessité de réaliser une analyse d’impact (AIPD). Si besoin, il accompagne le responsable du traitement dans
le choix de la méthodologie la mieux adaptée et le développement des garanties à appliquer pour prévenir toute atteinte au respect de la vie privée des personnes concernées. La
responsabilité de la conformité du traitement
reste en revanche à la charge du responsable du traitement ou du sous-traitant.
En cas de non-respect des recommandations du DPO dans le service public, il incombe alors au responsable du traitement de justifier sa décision. C’est pourquoi il est important de
documenter l’ensemble du traitement à des fins de
traçabilité.
Enfin, toute activité pouvant avoir des conséquences sur la protection de données personnelles doit faire l’objet d’une étude d’impact sur la vie privée et de mesures spécifiques pour limiter les éventuelles conséquences de la dite activité sur la protection des données personnelles. Le
DPO doit par ailleurs consulter l’autorité de contrôle avant la mise en œuvre de cette activité.
Ainsi, le DPO joue un rôle clé dans la cybersécurité du service public. Ses actions contribuent notamment à protéger son organisme de rattachement contre les attaques en ligne de type
ransomwares.