L’autorité française référente en matière de protection des données personnelles publie un guide pour accompagner les DPO dans leurs missions au sein des organismes.
Le guide pratique de la CNIL permet de mieux comprendre les missions des délégués à la protection des données. © CNIL
Dans le cadre de sa stratégie d’accompagnement des délégués à la protection des données (DPO), la Commission nationale de l’informatique et des libertés (CNIL) propose un guide pratique du RGPD de 56 pages qui leur est dédié. Avec plus de 80 000 organismes ayant désigné un DPO en 2021, dont 26 000 dans le public, cette fonction est devenue aujourd’hui essentielle.
L’objectif de ce guide est d’accompagner à la fois les organismes dans la mise en place de la fonction de délégué à la protection des données et ces délégués dans l’exercice de leur métier. Ce guide est un outil vivant qui sera enrichi des bonnes pratiques remontées par les professionnels auprès de la Commission Nationale de l’Informatique et des Libertés.
Que contient le guide pratique de la CNIL sur les DPO ?
À travers ce guide complet et pédagogique, l’autorité française dresse les contours de cette profession, chargée de conseiller les responsables de traitement sur la protection des données personnelles.
Le document aborde les 4 thématiques suivantes :
- Le rôle du DPO,
- La désignation du DPO,
- L’exercice des missions du DPO,
- L’accompagnement du DPO par la CNIL.
Chaque chapitre s’accompagne de cas concrets et répond aux questions fréquentes que peuvent se poser les personnes exerçant la fonction de délégué à la protection des données au sein des organismes. Une FAQ et des outils pratiques complètent ce guide pratique, comme un modèle de lettre de mission à remettre au DPO lors de sa prise de fonction ou le formulaire de désignation.
Quel est le rôle du délégué à la protection des données ?
Le DPO est un acteur clé du système de gouvernance des données personnelles, instauré dans le cadre du RGPD. Il est désigné comme le « chef d’orchestre » de la gestion des données personnelles au sein de l’organisme qui l’a désigné.
Les missions qui lui sont attribuées consacrent son rôle de pilote de la démarche de mise en conformité permanente et dynamique dans laquelle les organismes doivent s’inscrire.
Le rôle du DPO s’articule autour de 4 missions :
- Conseiller et accompagner l’organisme,
- Contrôler l’effectivité des règles,
- Être le point de contact de l’organisme sur les sujets du RGPD,
- Assurer la documentation des traitements de données.
Dans ce cadre, la CNIL précise que son positionnement hiérarchique doit témoigner de ce rôle majeur au sein de la structure et ses ressources doivent être adaptées « afin qu’il puisse accomplir pleinement son métier et son rôle de pilote de la conformité ».
Comment designer un DPO au sein d’un organisme ?
S’il n’existe pas de profil type de délégué à la protection des données, « le RGPD impose que le délégué dispose d’un certain niveau d’expertise », qui peut varier en fonction de la complexité et du volume des données traitées par l’organisme. On peut ainsi noter que le DPO doit présenter :
- une expertise juridique et technique en matière de protection des données,
- une connaissance du secteur d’activité, de la réglementation sectorielle et de l’organisation de la structure pour laquelle il est désigné,
- une compréhension des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données,
- une bonne connaissance des règles et procédures administratives applicables, s’il est engagé par une autorité publique ou un organisme public.
Le DPO doit également faire preuve de qualités humaines, telles que l’intégrité, un haut niveau d’éthique professionnelle, une bonne capacité à communiquer, à vulgariser son discours et savoir convaincre ses interlocuteurs comme sa hiérarchie.
La CNIL ajoute aussi que la personne exerçant cette fonction au sein de l’organisme ne doit pas se trouver en conflit d’intérêts avec d’autres missions qu’il doit accomplir. À noter qu’une fiche pratique du guide aborde également la question de nommer un DPO interne, externe ou mutualisé, c’est-à-dire désigné par plusieurs entités pour accomplir ses missions.
Recevez par email toute l’actualité du digital
