Dans sa mission de conseiller et d’accompagner à la mise en conformité RGPD, la CNIL a publié deux guides pratiques : le guide du délégué à la protection des données et le guide pour accompagner les associations dans leur mise en conformité.
Dans cet article, nous allons nous intéresser au guide DPO publié par la CNIL, qui a pour objectif d’accompagner les organisations dans la mise en place de la fonction de délégué à la protection des données, mais également d’aider les DPO à exercer leur métier dans les meilleures conditions.
Guide DPO : Un guide de la CNIL pour y voir plus clair sur les missions et les fonctions
Apparu en 2018 avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD, ou DPO selon l’acronyme du titre anglais de Data Protection Officer couramment utilisé) occupe un rôle central dans la gouvernance des données personnelles. Le DPO est le pilier et le pilote de votre conformité au RGPD. Son rôle est d’accompagner votre entreprise dans ses démarches de mise en conformité avec le RGPD.
La désignation d’un DPO est obligatoire de la part des autorités publiques et de certains organismes privés dont l’activité de base implique un traitement à grande échelle de données sensibles ou de données permettant un suivi régulier et systématique de personnes. La CNIL a récemment lancé des contrôles d’organismes publics et privés pour vérifier le rôle et les missions confiés à leur DPO.
Ne ratez pas l’évènement incontournable des acteurs de la protection des données, le Printemps des DPO qui a lieu chaque année à Paris !
Pour aider à répondre à toutes les questions sur le délégué à la protection des données, la CNIL a créé ce guide de référence.
Ce guide est organisé en quatre parties :
- Le rôle du DPO
- La désignation du DPO
- L’exercice de la fonction du DPO
- L’accompagnement du DPO par la CNIL
Chaque thématique est illustrée par des cas concrets et les réponses aux questions fréquemment posées sur le sujet, ainsi que sur des outils pratiques comme par exemple le modèle de lettre de mission du DPO.
Si vous n’avez pas le temps de parcourir tout le guide, nous allons ici vous partager les informations principales qu’il est important de retenir.
Le rôle du DPO
Le DPO a un rôle crucial dans une organisation. En effet, grâce à son expertise du RGPD, il accompagne la direction à assurer la conformité de son entreprise et de son site web. Ensuite, il diffuse les règles de la protection des données personnelles auprès de toutes les personnes qui traitent des données personnelles au sein de l’organisme.
Ses missions peuvent être :
- rédaction ou tenue du registre des activités de traitement
- rédaction et mises à jour des politiques internes en matière de protection de données
- examen de la nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD)
Il a donc une mission d’information, de conseil et de contrôle. Cependant, d’après la CNIL, il n’est pas responsable de la conformité de l’entreprise, de la tenue des registres de traitement, de la réalisation des analyses d’impacts ou de notifications des violations de données. Mais le DPO est un acteur clé pour permettre à l’organisme d’assurer ses obligations en terme de RGPD, et ainsi d’éviter les sanctions.
La désignation du DPO
Dans quel cas la désignation d’un DPO est-elle obligatoire ?
La désignation d’un DPO est obligatoire dans les cas suivants :
- Pour les autorités ou organismes publics ;
- Pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
- Pour les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Même si votre organisation n’appartient à aucun de ces trois cas, nous vous recommandons de désigner un DPO car en cas de traitement de données personnelles, cet expert pourra vous accompagner sur les actions à mettre en place en matière de protection de données personnelles et respect de la vie privée.
Ce guide DPO vous permet d’en savoir plus sur la désignation obligatoire ou non du DPO, en vous donnant des exemples concrets et précis qui vous aideront à prendre une décision pour votre entreprise.
Qui peut être désigné en tant que DPO ?
En ce qui concerne le choix du DPO, le RGPD impose que cette personne possède un certain niveau d’expertise : que ça soit une expertise juridique et technique, une connaissance du secteur dans lequel il doit travailler ou encore une compréhension de la protection et sécurité des données. Si cette personne ne possède pas ces connaissances, il faudra qu’elle bénéficie d’une formation. Enfin, il ne faut pas qu’il y ait de conflits d’intérêts : il ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitements.
L’exercise de la fonction du DPO
Le DPO doit être au coeur de l’entreprise ; en effet, il doit être associé à toutes les questions relatives à la protection de données personnelles, et disposer de ressources suffisantes pour pouvoir exercer ses fonctions.
Fonctions du DPO
Par exemple, le DPO doit :
- participer régulièrement aux réunions stratégiques de l’organisme qui ont pour sujet des projets impliquant des données personnelles
- pouvoir dialoguer et échanger avec tous les acteurs de l’entreprise qui jouent un rôle important dans la protection des données personnelles
- être consulté lorsqu’une violation de données ou tout autre incident impliquant des données personnelles se produit.
Ressources nécessaires au DPO
Afin d’exercer au mieux ses fonctions, l’organisme doit fournir les ressources nécessaires au DPO, en lui facilitant l’accès aux données et aux opérations de traitement et en lui permettant de toujours accroître ses connaissances en terme de protection de la vie privée.
L’accompagnement du DPO par la CNIL
Afin d’accompagner les DPO, la CNIL met à leur disposition deux types d’outils :
Les sites pour se former
Vous trouverez dans cette catégorie :
- le site de la CNIL
- les ateliers ou webinaires
- ou encore les formations en ligne comme le MOOC, gratuit et ouvert à tous.
Les sites pour trouver une réponse à leur questions
- Une permanence téléphonique
- Une adresse électronique dédiée
- Les réseaux professionnels de DPO
Si vous avez été choisi en tant que DPO, Admeet a développé une solution complète pour faciliter la mise en conformité RGPD des sites web de vos clients. Notre outil vous permet de gagner du temps en générant des politiques de confidentialité et des politiques de cookies complètes, sur mesure à chaque organisation, et hautement qualitatives. Rédigées par des experts RGPD, soyez sereins en cas de contrôle par la CNIL.