La fonction de DPO doit avoir une visibilité dans l'entreprise et une lisibilité qui sera fonction de sa place dans l'organigramme. Cette position ne peut pas varier en fonction de l'importance que l'organisme entend accorder au sujet.
Pour commencer, je dirais que l'existence ou non d'une obligation d'avoir un DPO suffit par elle-même à décider de la place que doit avoir le sujet RGPD dans l'entreprise.
L'article 37 expose le cas dans lequel s'inscrivent la plupart des clients d'handiness, acteurs du social ou du médico-social :
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
Autre petit rappel autour de la formulation de l'article 38 du RGPD : "Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel."
Que faut-il en déduire ?
Que le DPO doit être visible et positionné sur l'organigramme en tant que fonction, de façon à ce que ce rapport au niveau le plus élevé soit d'un accès aisé. Cela veut dire clairement que le DPO ne peut pas se retrouver avec deux ou trois échelons entre lui et la personne qui va incarner le responsable de traitement.
Sinon, on pourra raisonnablement douter de son implication réelle en "Privacy by design", donc dés la conception, dans tous les projets impliquant des données à caractère personnel
Autre paramètre à prendre en compte :
Un peu plus loin, on peut lire : "Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions"... "Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant."
Je parle d'un positionnement en tant que fonction car dans la plupart des structures, la personne pourra également exercer d'autres missions tant qu'elles n'ont pas pour résultat de le placer en position de conflit d'intérêts.
Mais il n'y a pas que la notion de conflit d'intérêt à prendre en compte
Par exemple, un informaticien peut être DPO ... s'il n'est pas le Responsable Informatique. Néanmoins, on voit bien que ce montage, même s'il satisfait à l'article 38 du RGPD peut avoir pour conséquence d'amener une personne à émettre un avis négatif sur des options techniques de sécurité, choisies par son responsable et qu'il a pu avoir pour instructions de mettre en oeuvre ! Pas très confortable comme position n'est-ce pas ?
Donc réfléchissez bien à cet aspect : au-delà des compétences, le positionnement est un aspect primordial de la fonction. Et ce positionnement, il faut que le DPO ait les moyens de l'assumer.