Le Data Protection Officer (DPO) est une fonction instaurée par le Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD). Sa désignation devient obligatoire à compter du 25 mai 2018 pour l’ensemble des organismes et autorités publiques, ainsi que pour de nombreuses entités privées (notamment en cas de traitement de données sensibles et/ou de suivi régulier de données d’individus, à grande échelle).

En pratique, le DPO est chargé de veiller à la bonne conformité des traitements de données à caractère personnel mis en œuvre par une entité. Autrement dit, le Data Protection Officer veille à ce qu’une entreprise ou une administration publique manipule les données personnelles que vous leur confiez de manière conforme à la loi.

Le DPO a différents rôles au sein d’une entité, au titre desquels on peut notamment citer :

• Conseiller et assister les salariés et les dirigeants sur les actions qu’ils doivent mettre en œuvre afin de respecter en pratique les règlementations en matière de protection des données personnelles ;
• Contrôler les activités internes afin de vérifier le bon respect de ses préconisations ;
• Etre l’interlocuteur privilégié des autorités de contrôle (en France, la CNIL : Commission Nationale de l’Informatique et des Libertés).

Pour mener ses missions à bien, le Data Protection Officer doit être indépendant et ne pas disposer de conflit d’intérêt. C’est notamment dans une telle optique que certaines entités font le choix d’avoir recours à des DPO externes.

La notion de données à caractère personnel est définie au sein de l’article 4 du Règlement Général n°2016/679 sur la Protection des Données Personnelles (RGPD) comme étant « toute information se rapportant à une personne physique identifiée ou identifiable […] qui peut être identifiée, directement ou indirectement […] ».

Autrement dit, une donnée personnelle est une donnée ou un ensemble de données qui permet d’identifier une personne, par tous moyens (considérant 26 du Règlement suscité). Cette identification peut être indirecte et supposer de recouper des données avec d’autres qui seraient détenues par un tiers. Un bon exemple en la matière est celui d’une plaque d’immatriculation de voiture : à sa seule lecture, j’ai peu de chance de savoir à qui appartient le véhicule. Mais, il existe un fichier centralisé, le SIV (Système d’immatriculation des véhicules), qui permet de faire le lien entre un numéro de plaque d’immatriculation et le détenteur du véhicule. C’est ainsi qu’une plaque d’immatriculation est systématiquement une donnée à caractère personnel.

En pratique, il convient donc d’être particulièrement vigilant avec la notion de données à caractère personnel. Cette notion est bien maitrisée par les professionnels de la matière mais plus rarement par le grand public. Sa portée est extrêmement étendue et tend à englober de plus en plus de données dans un monde de plus en plus numérisé. Certaines techniques comme le ciblage favorisent en effet le traitement de données indirectement personnelles, qui restent pourtant bien soumises aux mêmes règles que des données directement nominatives tels que le prénom et le nom.