RGPD
Mise à jour : 04 mai 2022Afin de gérer et de contrôler ses traitements automatisés de données personnelles, l'entreprise peut nommer un délégué à la protection des données, également désigné sous le sigle DPO (Data Protection Officer en anglais). C'est pour elle un moyen de sécuriser la gestion de ses traitements automatisés. Ce n'est toutefois pas une obligation, sauf si les activités de base de l'entreprise la conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Qui peut être désigné délégué à la protection des données ?
Peut être désignée à cette fonction une personne :
- nécessairement qualifiée et compétente, c'est-à-dire ayant des compétences en informatique, en droit, en conseil et management, en médiation et pédagogie, etc. (il n'y a pas d'exigence de diplôme ou de procédure d'agrément), disposant également d'une bonne connaissance du secteur d'activité, de l'organisation interne, en particulier des opérations de traitements, des systèmes d'information, des besoins en matière de protection et de sécurité des données
- disposant de moyens suffisants : temps suffisant pour exercer ses missions, moyens matériels et humains adéquats, accès aux informations utiles, associé en amont des projets impliquant des données personnelles, facilement joignable par les personnes concernées
- indépendante : le délégué à la protection des données, à l'instar du correspondant informatique et libertés doit pouvoir exercer ses missions de manière indépendante, à l'abri de tout conflit d'intérêts qui pourrait naître d'autres fonctions (le responsable des traitements dans l'entreprise ne peut donc pas être désigné comme délégué à la protection des données). Il doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'organisme et ne pas risquer d'être sanctionné pour l'exercice de ses missions.
Remarque
Le délégué à la protection des données n'a pas la qualité de salarié protégé. Il ne possède donc pas de protection particulière au titre d'un mandat et ne dispose pas d'heures de délégation au titre de sa mission.
Un groupe d'entreprises peut désigner un seul délégué à la protection des données, à condition qu'il soit facilement joignable à partir de chaque lieu d'établissement, et que le délégué à la protection des données puisse exercer ses missions sur la base d'un contrat de service Règl. UE no 2016/679, RGPD, 27 avr. 2016, art. 37.
Quel est le rôle du délégué à la protection des données ?
Le délégué à la protection des données est la personne chargée dans l'entreprise :
- d'informer et de conseiller les employeurs sur la protection des données personnelles
- de veiller à l'application ou à la mise en conformité des systèmes de l'entreprise au règlement général de protection des données (RGPD) et à la loi informatique et libertés L. no 78-17, 6 janv. 1978 ; L. no 2018-493, 20 juin 2018
- de dispenser des conseils en matière d'analyse d'impact (voir question dédiée)
- de coopérer et de faire office de point de contact pour la Cnil. Pour ce faire, le délégué doit faciliter l'accès par l'autorité aux documents et informations dans le cadre de l'exercice des missions et pouvoirs de la Cnil, ou de toute autre autorité similaire européenne (Règl. UE no 2016/679, 27 avr. 2016, art. 39).
Le délégué à la protection des données est obligatoirement consulté préalablement à la mise en œuvre de nouveaux traitements. Il reçoit les réclamations et requêtes des personnes intéressées par ces traitements, il a un rôle d'alerte et établit des bilans.
Attention
Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions (lignes directrices concernant les délégués à la protection des données, adoptées le 13 décembre 2016 et révisées le 5 avril 2017, disponibles sur le site internet de la Cnil : www.cnil.fr).
Remarque
Le délégué à la protection des données remplace, depuis le 25 mai 2018, le correspondant informatique et liberté (ou correspondant à la protection des données personnelles). Pour autant, son rôle n'est pas exactement le même : sa nomination dans l'entreprise ne dispense pas l'employeur de réaliser des analyses d'impact (voir question dédiée).
La certification du délégué à la protection des données est-elle obligatoire ?
Non, la certification des compétences du délégué à la protection des données n'est pas une obligation. Il s'agit, selon la Cnil, d'un « mécanisme volontaire permettant aux personnes physiques de justifier qu'elles répondent aux exigences de compétences et de savoir-faire du délégué à la protection des données prévues par le règlement ». Un référentiel de certification des compétences du délégué à la protection des données a ainsi été établi par la Cnil. Il fixe :
- les conditions préalables à remplir par le candidat à la certification : justifier d'une expérience professionnelle d'au moins deux ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données s'agissant de la protection des données personnelles, ou justifier d'une expérience professionnelle d'au moins deux ans et d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation
- les compétences et savoir-faire requis (Délib. Cnil no 2018-318, 20 sept. 2018).
La désignation d'un délégué à la protection des données est-elle obligatoire ?
La désignation d'un délégué à la protection des données est facultative excepté pour :
- les autorités ou les organismes publics
- les organismes dont les activités de base les conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle
- les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Une telle désignation est toutefois recommandée dans toutes les entreprises, dans la mesure où elle permet de confier à un expert en matière de protection des données personnelles le contrôle de la conformité des traitements mis en œuvre dans l'entreprise.
Quelles sont les formalités de désignation, de modification ou de fin de mission du délégué à la protection des données ?
La désignation du délégué à la protection des données s'effectue par notification à la Cnil, à l'aide d'un formulaire spécifique disponible sur le site de l'autorité, à l'adresse suivante : www.cnil.fr/designation-dpo.
La désignation du délégué prend effet le lendemain de l'accomplissement de cette démarche en ligne.
Pour mettre fin aux missions du délégué à la protection des données ou modifier sa désignation, il faut envoyer un courriel au service des délégués à l'adresse électronique indiquée dans l'accusé réception de la désignation.
créez votre compte gratuitement !
créez votre compte gratuitement !
Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions (lignes directrices concernant les délégués à la protection des données, adoptées le 13 décembre 2016 et révisées le 5 avril 2017, disponibles sur le site internet de la Cnil : www.cnil.fr).