Pourquoi et comment désigner un délégué à la protection des données (DPO) ? Quels moyens lui donner pour accomplir ses missions ? Pour répondre à ces interrogations, la Cnil publie un guide pratique du DPO, annonce-t-elle dans une communication publiée le 16 novembre 2021. L’objectif de ce document (56 pages), qui regroupe les principales connaissances utiles et les bonnes pratiques, est d’accompagner « à la fois les organismes dans la mise en place de la fonction de délégué à la protection des données et ces délégués dans l’exercice de leur métier », explique la Commission.Construit avec l’aide de nombreuses associations professionnelles, ce guide est présenté comme « un outil vivant » : il sera enrichi des bonnes pratiques remontées par les professionnels auprès de la Cnil (les nouvelles versions seront disponibles sur le site de la Commission via ce lien).
Le DPO, un rôle central dans la gouvernance des données
Apparu en 2018 avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD ou DPO en anglais) occupe « un rôle central dans la gouvernance des données personnelles », relève la Cnil. Il doit :• « informer et conseiller le responsable de traitement » ;• « contrôler le respect des obligations légales de l’organisme » ;• et « agir comme point de contact avec la Cnil ». Il n’est pas responsable de la conformité de l’organisme mais il en est « un rouage essentiel, capable d’allier expertise et conseil à toutes les étapes des projets impliquant l’utilisation de données personnelles », explique la Commission.Elle indique qu’actuellement, près de 30 000 personnes en France exercent cette fonction (personnes physiques et morales confondues) pour 80 000 organismes ayant désignés un DPO. Parmi eux, « les secteurs de l’administration publique, de l’enseignement et de la santé sont les plus représentés », note-t-elle.
Des critères de compétences et d’absence de conflit d’intérêts
La Cnil rappelle que « les autorités publiques et certains organismes privés dont l’activité de base implique un traitement à grande échelle de données sensibles ou de données permettant un suivi régulier et systématique de personnes doivent obligatoirement désigner un DPO ». Cette désignation doit être réalisée selon plusieurs critères, et en particulier de compétences, de connaissances et d’absence de conflit d’intérêts.Les organismes doivent également s’assurer :• « que le DPO ne reçoive pas d’instruction » ;• « qu’il soit associé en temps utile à toutes les questions relatives aux données personnelles » ;• et « qu’il soit mis en capacité d’exercer ses missions ».Autant d’exigences qui peuvent être contrôlées et, si nécessaire, sanctionnées par la Cnil si elles ne sont pas respectées.
4 parties avec des cas concrets et des réponses aux questions clés
« Quelles sont les traductions concrètes de ces obligations ? Comment s’assurer que le DPO choisi puisse remplir ses missions de façon satisfaisante ? » C’est pour répondre à ces interrogations de façon précise que la Cnil propose ce guide pratique.Le document est articulé en 4 parties :• le rôle du DPO ;• la désignation du DPO ;• l’exercice de la fonction du DPO ;• l’accompagnement du DPO par la Cnil.Chaque thématique est illustrée par des cas concrets et les réponses aux questions fréquemment posés sur le sujet (foire aux questions). Les acteurs peuvent également s’appuyer sur des outils pratiques tel qu’un modèle de lettre de mission.Cet outil permet d’obtenir rapidement des informations essentielles et précises sur le DPO, de sa désignation à la fin de sa mission. La Cnil souligne avoir été « particulièrement vigilante » à apporter « des éléments clairs sur la manière de s’assurer que le DPO peut effectuer ses missions en toute indépendance, sans conflit d’intérêt et avec une réelle efficacité pour l’organisme ».