Si vous désignez un Délégué à la Protection des Données (DPO) en interne, il peut s’agir d’une mission qui s’ajoute à sa fonction principale. Dans ce cas, le DPO ne peut exercer au sein de l’entreprise une fonction qui l’amène à déterminer les finalités (pourquoi traiter les données) et moyens (comment traiter les données) du traitement de données à caractère personnel.
Le G29 (l’organisation qui réunit les CNIL européennes) précise que les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’entreprise, et qui ne peuvent pas être désignées comme DPO, peuvent être :
- les “fonctions d’encadrement supérieur”.
Exemples : un directeur général, directeur opérationnel, directeur financier, le responsable du service informatique.
- d’autres fonctions à un niveau inférieur de la structure organisationnelle si ces fonctions supposent la détermination des finalités et des moyens du traitement.