Tout ce que vous avez toujours voulu savoir sur la fonction de DPO
Guide Pratique RGPD – Délégués à la protection des données – CNIL
Bien que sa désignation ne soit pas toujours obligatoire, le délégué à la protection des données (DPO) apparait aujourd’hui comme un indispensable. Il est la figure de proue et est devenu un élément structurant de la conformité de l’entreprise. Depuis 2018, ce sont 30.000 personnes qui ont été désignées DPO par 80.000 organismes. Avant l’entrée en vigueur du RGPD, seuls 18.000 organismes étaient dotés d’un correspondant Informatique et Libertés.
L’intérêt grandissant porté à cette nouvelle fonction, et les questions qu’elle soulève, imposait la rédaction d’un guide pratique à destination des organismes et DPO tel que celui publié par la CNIL le 16 novembre dernier.
Ce guide est construit comme un outil d’accompagnement, d’une part des entreprises afin qu’elles déterminent si elles doivent désigner un DPO, et d’autre part pour les DPO eux-mêmes afin de les accompagner dans la réalisation de leurs missions quotidiennes. Le guide reprend également les lignes directrices éditées par le CEPD le 13 décembre 2016.
Le guide s’articule en quatre chapitres :
- Le rôle du DPO ;
- La désignation du DPO ;
- L’exercice des missions du DPO ;
- L’accompagnement du DPO par la CNIL.
Chaque chapitre est clôturé par une section « foire aux questions » permettant d’apporter des réponses à des problématiques pratiques.
- Sur le rôle du DPO
La CNIL rappelle que le DPO a une mission d’information, de conseil et de contrôle. Il doit être en mesure d’anticiper les besoins en matière de conformité et d’organiser ses interventions au sein de l’organisme. Ainsi il participe à l’élaboration des documents de gouvernance (politique de sécurité informatique, charte, règlement intérieur, politique de protection des données etc.) et à la mise en place de procédures internes nécessaires à la conformité de l’entreprise ou d’actions de communication sensibilisation auprès des salariés. Le DPO doit être en mesure de réaliser des audits réguliers afin de s’assurer du respect des mesures de conformité mises en place.
La CNIL rappelle que le DPO, qu’il soit interne ou externe, n’est pas personnellement responsable de la conformité de l’organisme et que seul le responsable de traitement peut être tenu responsable sanctionné par les autorités de protection en cas d’une non-conformité et peut être sanctionné par une autorité de contrôle à ce titre.
- Sur la désignation du DPO
La CNIL rappelle dans quelles conditions la désignation d’un DPO est obligatoire par application de l’article 37 du RGPD. La désignation d’un DPO s’impose pour :
- les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles);
- les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle;
- les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Une grille d’interprétation permettant aux responsables de traitement de déterminer s’ils doivent désigner un DPO est également proposée.
A titre de bonnes pratiques, la CNIL recommande la désignation d’un DPO si l’organisme rencontre des difficultés relatives à la protection des données personnelles, et ce même s’il n’a pas l’obligation d’en désigner un.
Enfin, il est souligné par la CNIL que le défaut de désignation d’un DPO, alors qu’elle s’avérait obligatoire, peut faire l’objet d’une sanction allant jusqu’à 2% du chiffres d’affaires du responsable de traitement ou 10 millions d’euros.
La CNIL consacre notamment ses recommandations à la question de la compatibilité des missions du DPO avec l’exercice d’autres fonctions au sein de l’organisme. La CNIL rappelle que le DPO, dans le cadre de ses autres fonctions, ne peut pas disposer d’un pouvoir décisionnel sur la détermination des finalités et moyens de traitement de données personnelles. La CNIL estime que les fonctions telles que notamment de responsable des ressources humaines, directeur des opérations ou du marketing sont susceptibles de constituer un conflit d’intérêt. L’autorité recommande une appréciation au cas par cas, afin de s’assurer de l’absence de tout conflit.
Des développements sont également consacrés à la question de la désignation d’un DPO interne, externe ou mutualisé entre plusieurs filiales d’un même groupe, afin de guider les responsables de traitement dans leur choix.
- Sur l’exercice de la fonction de DPO
La CNIL rappelle que des moyens matériels doivent être attribués au DPO afin qu’il puisse exercer sa mission (temps suffisant si DPO à temps partiel, ressources financières, accès à la documentation juridique nécessaire, équipe assistant le DPO etc.). Une fiche est également consacrée à la question de l’indépendance du DPO vis-à-vis du responsable de traitement et sur les mesures à mettre en place en cas de départ, congés ou remplacement du DPO.
L’indépendance du DPO impose qu’il ne reçoive pas d’instructions de la part du responsable de traitement quant à l’exercice de ses missions. La CNIL estime que le DPO doit être en mesure de faire état de la conformité de l’organisme aux plus hauts niveaux de l’entreprise, par exemple via l’élaboration d’un rapport annuel sur ses activités afin qu’il qui puisse être présenté à la direction.
- Sur l’accompagnement du DPO par la CNIL
Dans ce dernier chapitre, la CNIL liste à destination des DPO les différents outils à leur disposition pour se former, pour contacter les services de la CNIL et des outils d’aide à la conformité (comme par exemple l’outil PIA pour la réalisation d’analyses d’impact).