Si vous désignez un Délégué à la Protection des Données (DPO) en interne, il peut s’agir d’une mission qui s’ajoute à sa fonction principale. Dans ce cas, le DPO ne peut exercer au sein de l’entreprise une fonction qui l’amène à déterminer les finalités (pourquoi traiter les données personnelles) et moyens (comment traiter les données personnelles) du traitement de données à caractère personnel.
Le G29 (l’organisation qui réunit les CNIL européennes) précise que les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’entreprise, et qui ne peuvent pas être désignées comme DPO, peuvent être :
- les “fonctions d’encadrement supérieur”.
Exemples : un directeur général, directeur opérationnel, directeur financier, le responsable du service informatique.
- d’autres fonctions à un niveau inférieur de la structure organisationnelle si ces fonctions supposent la détermination des finalités et des moyens du traitement.
Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.