RGPD

Peut être désignée à cette fonction une personne :

• nécessairement qualifiée et compétente, c'est-à-dire ayant des compétences en informatique, en droit, en conseil et management, en médiation et pédagogie, etc. (il n'y a pas d'exigence de diplôme ou de procédure d'agrément), disposant également d'une bonne connaissance du secteur d'activité, de l'organisation interne, en particulier des opérations de traitements, des systèmes d'information, des besoins en matière de protection et de sécurité des données
• disposant de moyens suffisants : temps suffisant pour exercer ses missions, moyens matériels et humains adéquats, accès aux informations utiles, associé en amont des projets impliquant des données personnelles, facilement joignable par les personnes concernées
• indépendante : le délégué à la protection des données, à l'instar du correspondant informatique et libertés doit pouvoir exercer ses missions de manière indépendante, à l'abri de tout conflit d'intérêts qui pourrait naître d'autres fonctions (le responsable des traitements dans l'entreprise ne peut donc pas être désigné comme délégué à la protection des données). Il doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'organisme et ne pas risquer d'être sanctionné pour l'exercice de ses missions.

Un groupe d'entreprises peut désigner un seul délégué à la protection des données, à condition qu'il soit facilement joignable à partir de chaque lieu d'établissement, et que le délégué à la protection des données puisse exercer ses missions sur la base d'un contrat de service Règl. UE no 2016/679, RGPD, 27 avr. 2016, art. 37.

Le délégué à la protection des données est la personne chargée dans l'entreprise :

• d'informer et de conseiller les employeurs sur la protection des données personnelles
• de veiller à l'application ou à la mise en conformité des systèmes de l'entreprise au règlement général de protection des données (RGPD) et à la loi informatique et libertés L. no 78-17, 6 janv. 1978 ; L. no 2018-493, 20 juin 2018
• de dispenser des conseils en matière d'analyse d'impact (voir question dédiée)
• de coopérer et de faire office de point de contact pour la Cnil. Pour ce faire, le délégué doit faciliter l'accès par l'autorité aux documents et informations dans le cadre de l'exercice des missions et pouvoirs de la Cnil, ou de toute autre autorité similaire européenne (Règl. UE no 2016/679, 27 avr. 2016, art. 39).

Le délégué à la protection des données est obligatoirement consulté préalablement à la mise en œuvre de nouveaux traitements. Il reçoit les réclamations et requêtes des personnes intéressées par ces traitements, il a un rôle d'alerte et établit des bilans.

Non, la certification des compétences du délégué à la protection des données n'est pas une obligation. Il s'agit, selon la Cnil, d'un « mécanisme volontaire permettant aux personnes physiques de justifier qu'elles répondent aux exigences de compétences et de savoir-faire du délégué à la protection des données prévues par le règlement ». Un référentiel de certification des compétences du délégué à la protection des données a ainsi été établi par la Cnil. Il fixe :

• les conditions préalables à remplir par le candidat à la certification : justifier d'une expérience professionnelle d'au moins deux ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données s'agissant de la protection des données personnelles, ou justifier d'une expérience professionnelle d'au moins deux ans et d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation
• les compétences et savoir-faire requis (Délib. Cnil no 2018-318, 20 sept. 2018).

La désignation d'un délégué à la protection des données est facultative excepté pour :

• les autorités ou les organismes publics
• les organismes dont les activités de base les conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle
• les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Une telle désignation est toutefois recommandée dans toutes les entreprises, dans la mesure où elle permet de confier à un expert en matière de protection des données personnelles le contrôle de la conformité des traitements mis en œuvre dans l'entreprise.

La désignation du délégué à la protection des données s'effectue par notification à la Cnil, à l'aide d'un formulaire spécifique disponible sur le site de l'autorité, à l'adresse suivante : www.cnil.fr/designation-dpo.

La désignation du délégué prend effet le lendemain de l'accomplissement de cette démarche en ligne.

Pour mettre fin aux missions du délégué à la protection des données ou modifier sa désignation, il faut envoyer un courriel au service des délégués à l'adresse électronique indiquée dans l'accusé réception de la désignation.