Début

RGPD : la Cnil publie un guide du délégué à la protection des données regroupant les bonnes pratiques

Paris - Publié le mardi 16 novembre 2021 à 12 h 20 - n° 13589 Pourquoi et comment désigner un délégué à la protection des données (DPODPOData Protection Officer (Directeur de la protection des données, DPD)) ? Quels moyens lui donner pour accomplir ses missions ? Pour répondre à ces interrogations, la CnilCommission Nationale de l’Informatique et des Libertés publie un guide pratique du DPO, annonce-t-elle dans une communication publiée le 16 novembre 2021. L’objectif de ce document (56 pages), qui regroupe les principales connaissances utiles et les bonnes pratiques, est d’accompagner « à la fois les organismes dans la mise en place de la fonction de délégué à la protection des données et ces délégués dans l’exercice de leur métier », explique la Commission.

Construit avec l’aide de nombreuses associations professionnelles, ce guide est présenté comme « un outil vivant » : il sera enrichi des bonnes pratiques remontées par les professionnels auprès de la Cnil (les nouvelles versions seront disponibles sur le site de la Commission via ce lien).

Le DPO, un rôle central dans la gouvernance des données


Apparu en 2018 avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD ou DPODPOData Protection Officer (Directeur de la protection des données, DPD) en anglais) occupe « un rôle central dans la gouvernance des données personnelles », relève la Cnil. Il doit :
• « informer et conseiller le responsable de traitement » ;
• « contrôler le respect des obligations légales de l’organisme » ;
• et « agir comme point de contact avec la Cnil ».
Il n’est pas responsable de la conformité de l’organisme mais il en est « un rouage essentiel, capable d’allier expertise et conseil à toutes les étapes des projets impliquant l’utilisation de données personnelles », explique la Commission.

Elle indique qu’actuellement, près de 30 000 personnes en France exercent cette fonction (personnes physiques et morales confondues) pour 80 000 organismes ayant désignés un DPO. Parmi eux, « les secteurs de l’administration publique, de l’enseignement et de la santé sont les plus représentés », note-t-elle.

Des critères de compétences et d’absence de conflit d’intérêts


La Cnil rappelle que « les autorités publiques et certains organismes privés dont l’activité de base implique un traitement à grande échelle de données sensibles ou de données permettant un suivi régulier et systématique de personnes doivent obligatoirement désigner un DPO ». Cette désignation doit être réalisée selon plusieurs critères, et en particulier de compétences, de connaissances et d’absence de conflit d’intérêts.

Les organismes doivent également s’assurer :
• « que le DPO ne reçoive pas d’instruction » ;
• « qu’il soit associé en temps utile à toutes les questions relatives aux données personnelles » ;
• et « qu’il soit mis en capacité d’exercer ses missions ».

Autant d’exigences qui peuvent être contrôlées et, si nécessaire, sanctionnées par la Cnil si elles ne sont pas respectées.

4 parties avec des cas concrets et des réponses aux questions clés


« Quelles sont les traductions concrètes de ces obligations ? Comment s’assurer que le DPO choisi puisse remplir ses missions de façon satisfaisante ? » C’est pour répondre à ces interrogations de façon précise que la Cnil propose ce guide pratique.

Le document est articulé en 4 parties :
• le rôle du DPO ;
• la désignation du DPO ;
• l'exercice de la fonction du DPO ;
• l'accompagnement du DPO par la Cnil.

Chaque thématique est illustrée par des cas concrets et les réponses aux questions fréquemment posés sur le sujet (foire aux questions). Les acteurs peuvent également s’appuyer sur des outils pratiques tel qu’un modèle de lettre de mission.

Cet outil permet d’obtenir rapidement des informations essentielles et précises sur le DPO, de sa désignation à la fin de sa mission. La Cnil souligne avoir été « particulièrement vigilante » à apporter « des éléments clairs sur la manière de s’assurer que le DPO peut effectuer ses missions en toute indépendance, sans conflit d’intérêt et avec une réelle efficacité pour l’organisme ».
Le guide sera enrichi des bonnes pratiques remontées par les professionnels auprès de la Cnil. - © Cnil
Le guide sera enrichi des bonnes pratiques remontées par les professionnels auprès de la Cnil. - © Cnil

Contenu du guide :

Le document est articulé en 4 parties :

Sommaire - © Cnil

Une partie « Foire aux questions » permet d’obtenir des réponses aux principales questions que peuvent se poser les organismes :

  • « Je recherche un DPODPOData Protection Officer (Directeur de la protection des données, DPD) pour mon organisme, comment faire ? » ;
  • « Qu’apporte la désignation d’un DPO si mon organisme a déjà un service juridique compétent en matière de protection des données ? » ;
  • « Où le DPO doit-il être localisé ? » ;
  • « Quelle langue doit parler le DPO ? » ;
  • « Le titre de  »délégué à la protection des données - DPO - DPDDPDdélégué à la protection des données«  est-il réservé aux personnes désignées auprès de la Cnil ? » ;
  • « Pourquoi la Cnil utilise-t-elle l’abréviation  »DPO«  plutôt que  »DPD«  ? » ;
  • « Comment un DPO peut-il se former ? »

Le guide est par ailleurs composé de 4 annexes :

  • annexe n° 1 : « Les questions clés à se poser lors de la désignation d’un DPO » ;
  • annexe n° 2 : « Modèle de lettre de mission remise par l’organisme au DPO lors de sa prise de fonction » ;
  • annexe n° 3 : « Le formulaire de désignation du DPO » ;
  • annexe n° 4 : « Glossaire ».
Commission Nationale de l'Informatique et des Libertés
Fiche n° 340, créée le 10/05/16 à 15:15 - MàJ le 17/10/19 à 14:23

Commission Nationale de l'Informatique et des Libertés

■ Création en 1978
■ Présidée par Marie-Laure Denis
■ Accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droit
■ Analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés
■ Travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée


  • Catégorie : Acteurs publics



Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne
CS 30223
75083 Paris Cedex 02 - FRANCE
Téléphone : 01 53 73 22 22
vCard meCard .vcf VCARD

Fin
loader mask
1