Un DPO … Pour quoi faire ? Conformément à la loi Informatique et Libertés et à son décret d’application n° 2005-1309, les missions principales du DPO sont de :
- tenir un registre des traitements : dans les trois mois suivant sa désignation, le correspondant doit dresser, par l’intermédiaire d’un registre, une liste des traitements automatisés pour lesquels il a été désigné.
- veiller à l’application de la loi Informatique et Libertés au sein de l’organisme qui l’a désigné : à ce titre, il est obligatoirement consulté préalablement à la mise en œuvre des traitements et il participe à la diffusion de la « culture Informatique et Libertés » dans l’organisme.
- se charger de la réception des réclamations et requêtes des personnes concernées par les traitements et de les transmettre aux services intéressés dans les formes et les délais prévus par la législation ; il assure le respect du droit d’accès et d’opposition et à l’information des personnes concernées sur leurs droits.
- devoir alerter sans délai le responsable de traitement des manquements constatés.
- procéder à des audits internes (accountability – Etudes d’impact – Sécurisation des SI et protection physique des données)
- préparer les dossiers auprès de la CNIL pour les traitements non exonérés de formalités par la loi.
- rédiger une politique de protection des données à caractère personnel ou une charte, dans le cadre de la diffusion de la loi dans l’entreprise, idéalement rédigé et validé par un conseil expert agréé et référencé auprès de la CNIL (de l’utilité du Cabinet d’avocats).
- promouvoir, concevoir et animer les actions de formation du personnel de l’organisme.
- remettre au responsable de traitement le bilan annuel de ses activités et de la politique de protection des données personnelles mise en œuvre par l’organisme : il explique ce qui a été fait et ce qui est prévu pour l’année suivante. Ce document est en outre mis à la disposition de la CNIL.