LA CNIL publie son guide du délégué à la protection des données:

Le délégué à la protection des données, aussi appelé plus communément DPO pour « Data Protection officer » est une personne physique qui est en charge de la protection des données à caractère personnel au sein d’un organisme privé ou public.
Ancêtre du correspondant informatique et liberté, le règlement général sur la protection des données entrée en vigueur le 25 Mai 2018 a consacré la notion de DPO au sein de son chapitre 4. Pour les organismes dont sa désignation est obligatoire, il sera le conseiller privilégié avec la CNIL.
L’objectif premier du DPO sera la mise en conformité de l’organisme dans lequel il exerce ses fonctions avec les dispositions du règlement général sur la protection des données.
À l’heure actuelle, c’est plus de 30 000 DPO qui ont été désignés pour exercer cette fonction dans plus de 80 000 organismes.

Toute la question est de savoir comment ce dernier va exercer ses fonctions et quel sera son rôle concret au sein de l’organisme. À cette fin, la CNIL vient de publier le guide du DPO afin d’aider les organismes et les DPO en fonction à exercer au mieux leur mission en regroupant les principales connaissances utiles et les bonnes pratiques.
Ce guide s’articule en 3 axes:
-Le rôle et les missions du DPO:
-La désignation du DPO
-L’accompagnement du DPO par la CNIL
Chaque thématique va être détaillée au sein de ce guide par des cas concrets et de questions fréquentes en lien avec le sujet traité.

1)Le rôle et les missions du DPO:

Conseiller et accompagner l’organisme en apportant son expertise auprès de la direction et en diffusant la culture et les règles propres à la protection des données auprès de toutes les personnes qui en sont confrontées au sein de l’organisme. Il peut également identifier et formaliser les cas ou son intervention ou sa présence est systématique.
Le guide rappelle de façon claire que le DPO n’est pas responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impact ou des notifications de violations de données.

Contrôler l’effectivité des règles en effectuant des audits et en instituant des fiches de route afin de corriger d’éventuelles anomalies dans le traitement des données.

Être le point de contact de l’organisme sur les sujets RGPD: réponse aux demandes lors d’un contrôle sur place, instruction d’une réclamation, consultation dans le cadre d’une AIPD, notification de violation de données…
Le DPO peut également questionner la CNIL sur toutes questions ayant un rapport avec la protection des données personnelles.

Assurer la documentation des traitements de données:
Le DPO doit tenir toute une documentation afin de prouver la conformité de l’organisme aux règles instituées dans le règlement. Cette documentation doit faire figurer plusieurs éléments tels qu’un registre des activités de traitement, les AIPD, le registre des violations de donnés
La CNIL rappelle par exemple que concernant le registre des traitements, cette dernière a publié une fiche dédiée sur son site web contenant un modèle de registre simplifié.

2) La désignation du DPO:

Dans quels cas la désignation d’un DPO est nécessaire?

Le guide rappelle que la désignation est obligatoire pour:

« •les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
• les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions. »

Également, la CNIL incite tous les organismes à désigner un DPO à partir du moment ou ces derniers traitent des données à caractère personnel.

Qui peut être désigné DPO?

Il n’y a pas de profil type selon le guide, ce dernier doit simplement selon le RGPD disposer d’un certain niveau d’expertise. La CNIL impose un certain niveau de connaissances comme un niveau d’expertise juridique et technique en matière de protection des données, une connaissance du secteur d’activité, de la règlementation sectorielle et de l’organisation de la structure pour laquelle il est désigné.

-DPO interne ou externe?

Le guide rappelle que chaque organisme est libre d’organiser la fonction de DPO selon ses besoins, il peut donc être interne ou externe.

-Quels moyens doivent être attribués au DPO?

La CNIL impose au responsable de traitement doit s’assurer que la DPO bénéficie de touts les moyens nécessaires à l’exercice de ses missions.

-Le statut du DPO:

-> indépendance du DPO dans l’exercice de ses missions
-> Absence de responsabilité du DPO en cas de non-respect du RGPD
-> Obligation de confidentialité/ secret professionnel

3) l’accompagnement par la CNIL:

La CNIL accompagne les DPO sous plusieurs formes:
-le site www.cnil.fr
-Les ateliers ou we binaires
-Les MOOC
-Permanence téléphonique au 0152732222
-Une adresse électronique dédiée
-Les réseaux professionnels de DPO

PIETROWSKI Tanguy