Avez-vous nommé un DPO (Délégué à la Protection des Données) ou un référent RGPD ?
En bref — ce que vous devez retenir
Le DPO (Délégué à la Protection des Données) est obligatoire pour certaines catégories d'entreprises, mais toutes les PME bénéficient à désigner au moins un référent RGPD interne — la personne qui porte les sujets de conformité et fait le lien avec la CNIL.
Glossaire
Data Protection Officer
Délégué à la Protection des Données
Personne (interne ou externe) chargée de veiller à la conformité RGPD de votre entreprise. Obligatoire pour certaines organisations selon le volume de données traitées.
GDPR — General Data Protection Regulation
Règlement Général sur la Protection des Données
Loi européenne qui encadre la collecte et l'utilisation des données personnelles. Toute entreprise traitant des données de résidents européens doit s'y conformer, sous peine d'amendes.
Un DPO obligatoire s'impose aux organismes publics, aux entreprises qui traitent à grande échelle des données sensibles (santé, biométrie) ou qui surveillent systématiquement des personnes. Pour les autres PME, il n'est pas obligatoire mais fortement recommandé.
Sans référent désigné, les obligations RGPD (registre, réponse aux droits, notification CNIL) restent sans responsable et sont souvent ignorées jusqu'au contrôle. Un DPO peut être interne (salarié avec mission), externe (prestataire), ou mutualisé (association secteur).
Contrôle CNIL suite à une violation de données. Absence de DPO alors que le cabinet traitait des données de santé à grande échelle — obligation légale. Sanction de 30 000 € et obligation de désigner un DPO sous 6 mois.
"On a nommé notre responsable RH comme référent RGPD interne avec 2 jours de formation. Elle est maintenant la seule à savoir répondre aux demandes clients et elle gère notre registre. Pour 2 000 €/an de formation, c'est une sérénité totale."
Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.