Interne ou externe à l’organisme
Le délégué peut être désigné en interne parmi les membres du personnel. Il est également possible de désigner une personne externe à l’organisme qui exercera ses missions sur la base d’un contrat de service.
Dans tous les cas, le.la DPO doit être disponible, qu’il se trouve physiquement dans le même lieu que les employés ou qu’il soit joignable à travers un service d’assistance téléphonique ou d’autres moyens de communication sécurisés… C’est essentiel pour que les personnes concernées puissent prendre contact avec lui.
Plusieurs délégués pour un organisme
La mission du délégué peut être assurée par une seule personne ou par une équipe. Les compétences et les atouts individuels de chacun peuvent être combinés de sorte que plusieurs personnes, travaillant en équipe, puissent mieux remplir les missions attribuées au délégué. Dans un souci de clarté et de bonne organisation, il est recommandé de prévoir une répartition claire des tâches au sein de l’équipe chargée de la fonction de délégué et de désigner, pour chaque bénéficiaire, une seule personne comme personne de contact principale. La structure interne de l’équipe ainsi que les tâches et responsabilités de chacun de ses membres doivent donc être clairement établies.
Un délégué pour plusieurs organismes
Il est possible de désigner un seul délégué pour plusieurs organismes. En effet, le RGPD autorise un groupe de structures à désigner un délégué unique à condition :
- qu’il soit « facilement joignable à partir de chaque lieu d’établissement ».
Cette nécessité d’être joignable se justifie par le fait que le délégué est le point de contact pour les personnes concernées et pour l’autorité de contrôle mais également en interne au sein de l’organisme.
- qu’il soit en mesure, avec l’aide d’une équipe si nécessaire, de s’acquitter efficacement de l’ensemble de ses missions en dépit du fait qu’il soit désigné par plusieurs organismes.
Un délégué connu et joignable
Le.la DPO doit être facilement joignable. L’organisme doit donc :
- publier les coordonnées du.de la délégué.e afin que toute personnes concernées par le traitement de ses données personnelle (employé, bénéficiaire, partenaire, etc.) puisse entrer en contact avec le.la DPO ;
- communiquer les coordonnées du.de la DPO aux autorités de contrôle (APD).
Un délégué sans conflit d’intérêts
Le RGPD autorise le.la délégué.e à exécuter d’autres missions et tâches mais l’organisme doit veiller à ce qu’elles n’entraînent pas de conflit d’intérêts. Le DPO, rendant des avis sur les règles et les processus internes à appliquer, ne peut donc pas par ailleurs exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
Il n’est dès lors pas recommandé de cumuler la fonction de DPO avec une fonction de direction (directeur.trice général.e, directeur.trice financier, coordinateur.trice…), mais aussi avec certaines fonctions à responsabilité (responsable du service informatique, etc.)