L’article 37 du Règlement général sur la protection des données 2016/679 (« RGPD ») impose aux responsables du traitement et aux sous-traitants de désigner un DPO, lorsqu’ils réalisent certaines activités de traitement. Dans les hypothèses où la désignation d’un DPO ne serait pas obligatoire, la CNIL recommande, toutefois, aux organismes rencontrant « des problématiques relatives à la protection des données personnelles », de procéder à une telle désignation.
Ce DPO peut faire partie de l’entreprise, ou bien constituer une ressource externe, telle qu’un avocat.
La CNIL a organisé son Guide pratique RGPD sur le Délégué à la protection des données en quatre parties :
- Le rôle du DPO ;
- La désignation du DPO ;
- L’exercice de la fonction du DPO ;
- L’accompagnement du DPO par la CNIL.
Le rôle du DPO inclut le contrôle de l’effectivité des règles, qui prend la forme de vérifications organisées par le DPO (« audit interne ou relai interne ») ou menées par le DPO personnellement, en collaboration avec les autres fonctions clefs telles que le RSSI. Cette mission de contrôle doit, selon la CNIL, « s’accompagner d’un suivi du plan d’actions correctrices et évolutives ».
L’objet de ces contrôles ou audits peut consister en :
« – des vérifications de l’exactitude des informations contenues dans le registre des traitements mis en œuvre par l’organisme (inventaire des activités de traitement, périmètre des finalités, personnes concernées, nature des données traitées, destinataires et éventuels transferts hors de l’Union Européenne, durées de conservation, mesures de sécurité) ;
– des vérifications de la conformité des traitements les plus sensibles, en prenant en compte les analyses d’impact effectuées (notamment s’agissant de la mise en œuvre des mesures censées diminuer la vraisemblance et la gravité des risques) ;
– la mise en place d’outils de suivi et de contrôle de l’utilisation des traitements (analyse de logs, détection de données interdites, vérification du respect des durées de conservation, etc.) ;
– un contrôle de l’effectivité des mesures techniques et organisationnelles de protection des données que l’organisme s’est engagé à mettre en œuvre ».
La CNIL précise par ailleurs, sur le sujet de la priorisation des missions du DPO, que « le niveau de vigilance et de moyens doit être d’autant plus fort que les risques présentés par les traitements sont importants (suivi rigoureux des traitements de données sensibles, formation de collaborateurs particulièrement impliqués, audit interne sur les mesures de sécurité, etc.) ».
La désignation du DPO doit, selon la CNIL, faire l’objet d’actions de communication (par exemple via une note d’information) visant à apporter de la « visibilité à la fonction et aux coordonnées du DPO au sein de l’organisme ».
S’agissant de l’exercice de ses fonctions, le DPO doit être associé, le plus tôt possible, à toutes les questions relatives à la protection des données.
La présence du DPO doit être recommandée lorsque des décisions en matière de protection des données sont prises. Le DPO doit être en mesure de dialoguer et de travailler avec les fonctions jouant un rôle important dans la protection des données.
L’accès aux données et aux opérations de traitement doit lui être facilité.
Enfin, s’agissant de l’accompagnement du DPO par la CNIL, cette dernière rappelle que le DPO peut utiliser ses modèles et autres outils d’aide à la mise en conformité, recourir à son standard téléphonique, ainsi qu’aux outils de formation de la CNIL.
Lien vers le guide de la CNIL :
