Guide pratique RGPD - Délégués à la protection des données

wwwcnilfr

GUIDE PRATIQUE

RGPDDEacuteLEacuteGUEacuteS Agrave LA PROTECTION DES DONNEacuteES

Lrsquoobjectif de ce guide est drsquoaccompagner agrave la fois les organismes dans la mise en place de la fonction de deacuteleacutegueacute agrave la protection des donneacutees et ces deacuteleacutegueacutes

dans lrsquoexercice de leur meacutetier

Ce guide est un outil vivant qui sera enrichi des bonnes pratiques remonteacutees

par les professionnels aupregraves de la Commission Nationale de lrsquoInformatique et des Liberteacutes

1

2

3

4

4

6

6

7

10

12

14

20

24

28

28

32

36

38

38

38

39

40

40

40

41

41

42

42

42

44

44

45

47

52

AVANT-PROPOS

QUELLES SONT LES MISSIONS DE LA CNIL

LE ROcircLE DU DPO

Conseiller et accompagner lrsquoorganisme

Controcircler lrsquoeffectiviteacute des regravegles

Ecirctre le point de contact de lrsquoorganisme sur les sujets RGPD

Assurer la documentation des traitements de donneacutees

LA DEacuteSIGNATION DU DPO

Fiche 1 Dans quels cas faut-il deacutesigner un DPO

Fiche 2 Qui peut ecirctre deacutesigneacute DPO

Fiche 3 DPO interne ou externe Comment mutualiser la fonction

Fiche 4 Comment deacutesigner un DPO

LrsquoEXERCICE DE LA FONCTION DE DPO

Fiche 5 Quels moyens doivent ecirctre attribueacutes au DPO

Fiche 6 Quel est le statut du DPO

Fiche 7 Que faire en cas de deacutepart de congeacutes ou de remplacement du DPO

COMMENT LA CNIL ACCOMPAGNE-T-ELLE LES DPO

Les outils pour se former

Les outils pour trouver une reacuteponse

Les outils drsquoaide agrave la mise en conformiteacute

FOIRE AUX QUESTIONS

Je recherche un DPO pour mon organisme comment faire

Qursquoapporte la deacutesignation drsquoun DPO si mon organisme a deacutejagrave un service juridique

compeacutetent en matiegravere de protection des donneacutees

Ougrave le DPO doit-il ecirctre localiseacute

Quelle langue doit parler le DPO

Le titre de laquo deacuteleacutegueacute agrave la protection des donneacutees ndash DPO ndash DPD raquo est-il reacuteserveacute aux

personnes deacutesigneacutees aupregraves de la CNIL

Pourquoi la CNIL utilise-t-elle lrsquoabreacuteviation laquo DPO raquo plutocirct que laquo DPD raquo

Comment un DPO peut-il se former

ANNEXES

Annexe ndeg 1 Les questions cleacutes agrave se poser lors de la deacutesignation drsquoun DPO

Annexe ndeg 2 Modegravele de lettre de mission remise par lrsquoorganisme au DPO lors de sa

prise de fonction

Annexe ndeg 3 Le formulaire de deacutesignation du DPO

Annexe ndeg 4 Glossaire

2

AVANT-PROPOS

Le meacutetier de deacuteleacutegueacute agrave la protection des don-neacutees (laquo DPD raquo ou laquo DPO raquo dans ce guide) est devenu essentiel depuis lrsquoentreacutee en application du regraveglement europeacuteen sur la protection des donneacutees (RGPD) le 25 mai 2018 Ce regraveglement qui harmonise au niveau europeacuteen des obliga-tions autrefois nationales concerne les orga-nismes dans toutes leurs activiteacutes gestion des ressources humaines prospection relations avec la clientegravele ou les usagers etc Deacutesormais le traitement de donneacutees personnelles est une composante fondamentale de la plupart des secteurs drsquoactiviteacute

Il est ainsi naturel que le RGPD consacre trois de ses articles agrave deacutefinir les contours de la profes-sion chargeacutee de conseiller les responsables de traitement sur la protection de ces donneacutees Degraves lors le DPO prend une importance qualitative et quantitative nouvelle par rapport agrave son preacute-deacutecesseur en France le correspondant Informa-tique et Liberteacutes (CIL)

Lrsquoeacutevolution est qualitative tout drsquoabord lrsquoesprit du regraveglement est de faire du DPO le laquo chef drsquoor-chestre raquo de la gestion des donneacutees personnelles dans lrsquoorganisme qui le deacutesigne Le positionne-ment hieacuterarchique du DPO doit en teacutemoigner et ses ressources doivent ecirctre adapteacutees afin qursquoil puisse accomplir pleinement son meacutetier et son rocircle de pilote de la conformiteacute Il ne doit pas tra-vailler en vase clos mais ecirctre pleinement inteacutegreacute aux activiteacutes opeacuterationnelles de son organisme Il est un maillon essentiel de la gouvernance de la donneacutee en lien avec le RSSI (responsable de la seacutecuriteacute des systegravemes drsquoinformation) et la DSI (direction des systegravemes drsquoinformation)

Le meacutetier de DPO srsquoest eacutegalement transformeacute drsquoun point de vue quantitatif Le nombre de DPO a en effet consideacuterablement augmenteacute du fait de lrsquoobligation de deacutesignation agrave laquelle sont

soumis de nombreux organismes Ainsi alors que 18 000 organismes srsquoeacutetaient doteacutes drsquoun CIL plus de 80 000 organismes avaient deacutesigneacute un DPO en 2021 dont 26 000 dans le public

Pleinement consciente de cette eacutevolution la CNIL a adapteacute sa strateacutegie drsquoaccompagnement des DPO principalement en lrsquoorientant sur le deacuteveloppement et le soutien de reacuteseaux de deacute-leacutegueacutes Organiseacutes par secteurs ou par reacutegions ceux-ci reacutepondent agrave un premier niveau de ques-tions du terrain la CNIL nrsquointervenant que dans un second temps avec ces repreacutesentants et feacute-deacuterations

En compleacutement de la page deacutedieacutee au DPO dis-ponible sur le site web de la CNIL ce guide a pour objectif drsquoaccompagner agrave la fois les orga-nismes dans la mise en place de la fonction de deacuteleacutegueacute agrave la protection des donneacutees et les DPO dans lrsquoexercice de leurs missions

Le guide du DPO srsquoarticule en 4 chapitres

bull le rocircle du DPO

bull la deacutesignation du DPO

bull lrsquoexercice des missions du DPO

bull lrsquoaccompagnement du DPO par la CNIL

Chaque theacutematique est illustreacutee par des cas concrets et les questions freacutequentes en lien avec le sujet traiteacute Le lecteur peut eacutegalement srsquoappuyer sur une FAQ et des outils pratiques comme la lettre de mission

Ce guide dont la reacutedaction beacuteneacuteficie de trois ans de pratique drsquoaccompagnement des DPO vous fournira les clefs pour tirer parti au mieux de la preacutesence drsquoun deacuteleacutegueacute ecirctre recruteacute en tant que DPO ou plus geacuteneacuteralement faire eacutevoluer votre conformiteacute

3


En France la Commission nationale de lrsquoinformatique et des liberteacutes (CNIL) est lrsquoautoriteacute chargeacutee de veiller agrave la protection des donneacutees personnelles Elle poursuit quatre principales missions

POUR ALLER PLUS LOIN

Sur cnilfr bull Les missions de la CNIL bull Statut et organisation de la CNIL

Informer et proteacuteger les droitsLa CNIL reacutepond aux demandes des particu-liers et des professionnels Elle megravene des actions de communication aupregraves du grand public et des professionnels que ce soit agrave travers ses reacuteseaux la presse son site web sa preacutesence sur les reacuteseaux sociaux ou en mettant agrave disposition des outils peacutedago-giquesToute personne peut srsquoadresser agrave la CNIL en cas de difficulteacute dans lrsquoexercice de ses droits

Anticiper et innoverPour deacutetecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie priveacutee la CNIL assure une veille deacutedieacuteeElle contribue au deacuteveloppement de solutions technologiques protectrices de la vie priveacutee en conseillant les entreprises le plus en amont possible dans une logique de privacy by design

Accompagner la conformiteacute et conseillerAfin drsquoaider les organismes priveacutes et publics agrave se conformer au RGPD la CNIL propose une boicircte agrave outils complegravete et adapteacutee en fonction de leur taille et de leurs besoins La CNIL veille agrave la recherche de solutions leur permettant de poursuivre leurs ob-jectifs leacutegitimes dans le strict respect des droits et liberteacutes des citoyens

Controcircleret sanctionnerLe controcircle permet agrave la CNIL de veacuterifier la mise en œuvre concregravete de la loi Elle peut imposer agrave un acteur de reacutegulariser son trai-tement (mise en demeure) ou prononcer des sanctions (amende etc)

4

LE ROcircLE DU DPO

Le RGPD place le DPO en acteur cleacute du systegraveme de gouvernance des donneacutees personnelles En effet les missions qui lui sont attribueacutees consacrent son rocircle de pilote de la deacutemarche de mise en confor-miteacute permanente et dynamique dans laquelle les organismes doivent srsquoinscrire

FOCUS LES TEXTES DEacuteFINISSANT LA FONCTION DE DPO

La fonction de DPO est reacuteglementeacutee et deacutefinie avec preacutecision dans les articles 37 agrave 39 du RGPD Ce guide srsquoappuie sur ce regraveglement la loi Informatique et Liberteacutes et son deacutecret drsquoapplication ainsi que les lignes directrices sur le DPO du Comiteacute europeacuteen de la protection des donneacutees (CEPD) Agrave la fin de chaque par-tie un renvoi vers les passages pertinents de ces textes sont indiqueacutes

Conseiller et accompagner lrsquoorganismeLe DPO a un rocircle de conseil et drsquoaccompagnement agrave plusieurs niveaux

bull il apporte son expertise aupregraves de la direction afin que celle-ci puisse assurer la conformiteacute des traitements

bull il diffuse la culture et les regravegles de la protection des donneacutees aupregraves de toutes les personnes qui traitent des donneacutees personnelles au sein de lrsquoorganisme

Le DPO peut ainsi identifier et formaliser les moments clefs agrave lrsquooccasion desquels il souhaite que son intervention ou sa preacutesence soit systeacutematique par exemple pour chaque

bull projet de deacutecision de creacuteation ou drsquoeacutevolution drsquoun traitement existant (afin notamment de veiller au respect des principes de protection des donneacutees degraves la conception et par deacutefaut)

bull examen de la neacutecessiteacute de reacutealiser une analyse drsquoimpact relative agrave la protection des donneacutees (AIPD) et reacutealisation effective de celle-ci

bull reacutedaction ou tenue du registre des activiteacutes de traitement

bull reacutedaction et mise agrave jour des regravegles ou politiques internes en matiegravere de protection des donneacutees

bull violation de donneacutees personnelles afin de conseiller sur les mesures agrave prendre ainsi que sur la notification agrave lrsquoautoriteacute et aux personnes concerneacutees

Le DPO sensibilise et accompagne les acteurs impliqueacutes au sein de chaque service traitant des donneacutees

bull en veillant agrave lrsquoadoption par tous drsquoune culture laquo protection des donneacutees personnelles raquo (par

5

exemple via des formations internes sur les grands principes de la protection des donneacutees)

bull en proceacutedant agrave des actions de communication et de sensibilisation sur des sujets pertinents pour lrsquoorganisme (utilisation drsquoaffiches et guides pratiques accessibles depuis lrsquointranet rappel des regravegles de seacutecuriteacute agrave lrsquooccasion drsquoune sanction ou drsquoune violation de donneacutees citeacutee dans les meacutedias fausses campagnes de laquo phishing raquo agrave but eacuteducatif etc)

bull en se preacutesentant comme lrsquointerlocuteur interne reacutefeacuterent pour toute question en matiegravere de pro-tection des donneacutees et si neacutecessaire au moyen de personnes relais

Le DPO a donc avant tout une mission drsquoinformation de conseil et de controcircle Il nrsquoest pas res-ponsable de la conformiteacute de lrsquoorganisme de la tenue du registre de la reacutealisation des analyses drsquoimpacts ou des notifications de violations de donneacutees Il est cependant en position drsquoen ecirctre un acteur clef dont les compeacutetences seront tregraves utiles au responsable de lrsquoorganisme pour lrsquoaider agrave se conformer agrave ses obligations

FOCUS LE PILOTAGE DE LA CONFORMITEacute PAR LE DPO

Veiller agrave la conformiteacute au RGPD est une deacutemarche active qui consiste agrave anticiper et organiser les inter-ventions du DPO au sein de lrsquoorganisme Les deacutemarches agrave mettre en place peuvent par exemple ecirctre les suivantes

bull formaliser les cas de consultation du DPO

bull mettre en place aupregraves des directions concerneacutees un laquo comiteacute RGPD raquo chargeacute drsquoarbitrer et drsquoorienter les actions concernant les traitements de donneacutees

bull ecirctre associeacute agrave lrsquoeacutelaboration et agrave la mise agrave jour des documents de gouvernance (politique de seacutecuriteacute du systegraveme drsquoinformation charte informatique livret drsquoaccueil regraveglement inteacuterieur etc)

bull entretenir un contact reacutegulier avec les opeacuterationnels qui traitent des donneacutees personnelles ecirctre agrave leur eacutecoute et en soutien

bull preacutevoir une proceacutedure interne en cas de controcircle de la CNIL (modaliteacutes drsquoaccueil personnes agrave preacutevenir informations agrave obtenir) de violation de donneacutees personnelles (information immeacutediate au DPO) ou de blocage interne (alerte du responsable de traitement etou reacutesolution du conflit)

bull preacutevoir les modaliteacutes de reacuteponse aux demandes exteacuterieures (reacutediger des modegraveles de reacuteponse informer les services en relation avec le public)

bull preacutevoir une personne relai en cas drsquoabsence ou drsquoempecircchement qui peut recevoir les demandes et ecirctre le point de contact en interne vis-agrave-vis des personnes concerneacutees mais aussi de la CNIL

bull identifier les services pertinents pour les deacutemarches drsquoanimations et de formations reacuteguliegraveres en srsquoai-dant si besoin de relais internes ou externes compeacutetents

bull tenir un tableau de bord des activiteacutes meneacutees afin drsquoalimenter un point reacutegulier (reacuteunion de direction) ainsi qursquoun rapport drsquoactiviteacute reacutegulier agrave destination de la direction de lrsquoorganisme

bull ecirctre acteur de son reacuteseau professionnel en identifiant et en collaborant avec les interlocuteurs perti-nents de lrsquoorganisme (relais internes responsables conjoints de traitement prestataires)

bull entretenir ses connaissances techniques et opeacuterationnelles en lien avec les activiteacutes de traitement de lrsquoorganisme agrave travers une veille (sur la jurisprudence les publications des autoriteacutes de controcircle etc) et agrave lrsquooccasion de formations et de partages drsquoexpeacuterience (reacuteseau geacuteographique etou professionnel de DPO)

6

Controcircler lrsquoeffectiviteacute des regraveglesLe DPO est investi drsquoune mission de controcircle du respect du RGPD

Cette mission doit prendre la forme de veacuterifications organiseacutees par le DPO (audit externe ou relais interne) ou meneacutees par le DPO personnellement en collaboration avec les autres fonctions clefs telles que le RSSI (responsable de la seacutecuriteacute des systegravemes drsquoinformation) Elle doit srsquoaccompagner drsquoun suivi du plan drsquoactions correctives et eacutevolutives

En fonction des prioriteacutes lrsquoobjet de ces controcircles ou audits peut consister en

bull des veacuterifications de lrsquoexactitude des informations contenues dans le registre des traitements mis en œuvre par lrsquoorganisme (inventaire des activiteacutes de traitement peacuterimegravetre des finaliteacutes per-sonnes concerneacutees nature des donneacutees traiteacutees destinataires et eacuteventuels transferts hors de lrsquoUnion Europeacuteenne dureacutees de conservation mesures de seacutecuriteacute)

bull des veacuterifications de la conformiteacute des traitements les plus sensibles en prenant en compte les analyses drsquoimpact effectueacutees (notamment srsquoagissant de la mise en œuvre des mesures censeacutees diminuer la vraisemblance et la graviteacute des risques)

bull la mise en place drsquooutils de suivi et de controcircle de lrsquoutilisation des traitements (analyse de logs deacutetection de donneacutees interdites veacuterification du respect des dureacutees de conservation etc)

bull un controcircle de lrsquoeffectiviteacute des mesures techniques et organisationnelles de protection des don-neacutees que lrsquoorganisme srsquoest engageacute agrave mettre en œuvre

Ecirctre le point de contact de lrsquoorganisme sur les sujets RGPDAvec la CNIL

Le DPO est drsquoune part ameneacute agrave coopeacuterer avec lrsquoautoriteacute de controcircle et doit agrave ce titre jouer un rocircle de laquo facilitateur raquo agrave lrsquooccasion des eacutechanges avec la CNIL (reacuteponse aux demandes lors drsquoun controcircle sur place instruction drsquoune reacuteclamation consultation dans le cadre drsquoune AIPD notification drsquoune violation de donneacutees etc)

Par ailleurs le DPO peut consulter la CNIL sur toutes questions ayant rapport avec la protection des donneacutees personnelles ou sa fonction Il est interdit au responsable de traitement ou au sous-traitant de soumettre ces questions agrave sa validation ou de les prohiber

En outre selon la Charte drsquoaccompagnement des professionnels qursquoelle a publieacutee en feacutevrier 2021 la CNIL ne reacutepond pas aux demandes de conseils qui lui sont adresseacutees par des organismes nrsquoayant pas pris le soin de consulter leur DPO sur la question qursquoils souhaitent poser

La majoriteacute des controcircles sur place de la CNIL sont inopineacutes Toutefois exceptionnellement lrsquoorga-nisme et le DPO peuvent en ecirctre avertis quelques jours auparavant Le DPO peut lors drsquoun controcircle sur place ecirctre laquo responsable des lieux raquo ougrave se situent le ou les traitements qui font lrsquoobjet des veacuterifications Il est alors lrsquointerlocuteur privileacutegieacute mais pas exclusif de la deacuteleacutegation de controcircle et est chargeacute de la relecture et de la signature du procegraves-verbal dresseacute agrave la fin de la journeacutee Le responsable de traite-ment reste en capaciteacute de faire ses observations sur le procegraves-verbal lorsqursquoil lui sera adresseacute

7

En revanche le DPO ne peut pas repreacutesenter seul lrsquoorganisme aupregraves de la CNIL lors drsquoune audition sur convocation car cela le mettrait en situation de conflit drsquointeacuterecircts Il peut neacuteanmoins accompa-gner un repreacutesentant de lrsquoorganisme pour apporter son expertise et reacutepondre aux questions

Avec les personnes concerneacutees par les traitements de donneacutees personnelles

Le DPO est eacutegalement le point de contact des personnes dont les donneacutees sont traiteacutees par lrsquoor-ganisme qui lrsquoa deacutesigneacute Agrave ce titre il peut prendre en charge lrsquoorganisation du traitement de leurs demandes drsquoexercice de droits (accegraves portabiliteacute etc) afin qursquoune reacuteponse complegravete soit apporteacutee dans les deacutelais impartis Le DPO peut eacutegalement ecirctre solliciteacute par les personnes concerneacutees (sa-larieacutes agents clients fournisseurs eacutetudiants usagers etc) au sujet de toute question relative au traitement de leurs donneacutees personnelles

ATTENTION

Dans le cadre drsquoune reacuteponse agrave une plainte le DPO agit comme point de contact avec la per-sonne concerneacutee et les agents de la CNIL Cela ne lrsquoautorise pas agrave communiquer les coordon-neacutees directes des agents de la CNIL agrave des tiers (y compris la personne concerneacutee) Ces coor-donneacutees sont destineacutees au seul destinataire des messages envoyeacutes et agrave ses collaborateurs

Assurer la documentation des traitements de donneacuteesLa documentation tient un rocircle preacutepondeacuterant dans la nouvelle logique de responsabilisation (ou redevabiliteacute ou encore laquo accountability raquo) du RGPD Rendue obligatoire elle permet au responsable de traitement ou au sous-traitant de garantir et de deacutemontrer le respect de ses obligations ainsi que les deacutemarches entreprises

De nombreux eacuteleacutements peuvent ecirctre inteacutegreacutes dans la documentation tels que le registre des activi-teacutes de traitement les AIPD le registre des violations de donneacutees et des mesures prises pour y remeacute-dier les mentions drsquoinformations les preuves du recueil du consentement les proceacutedures relatives agrave lrsquoexercice des droits les contrats de sous-traitance les outils drsquoencadrement des transferts hors Union europeacuteenne lrsquoanalyse eacutecrite sur lrsquoabsence de conflit drsquointeacuterecircts du DPO etc Cette liste nrsquoest pas limitative dans la mesure ougrave tout eacuteleacutement permettant de justifier de la conformiteacute et de piloter les actions agrave reacutealiser peut ecirctre inteacutegreacute agrave la documentation

La documentation est un outil essentiel du DPO car elle permet drsquoavoir une connaissance exhaus-tive des opeacuterations de traitement mises en œuvre et de preacutevoir leur pilotage Le DPO doit donc srsquoassurer de la tenue de cette documentation crsquoest-agrave-dire drsquoen garantir la pertinence et drsquoen piloter lrsquoactualisation

Srsquoagissant de la tenue du registre des activiteacutes de traitement lrsquoarticle 30 du RGPD preacutevoit que lrsquoobliga-tion de tenir un registre pegravese sur le responsable du traitement ou le sous-traitant Or dans la pratique les activiteacutes du DPO peuvent le conduire agrave prendre en charge cette mission En effet la tenue du registre constitue un outil de suivi et de controcircle des traitements mis en œuvre permettant au DPO drsquoavoir une connaissance la plus exhaustive possible des opeacuterations de traitements et de proposer les mesures neacutecessaires agrave leur encadrement Il doit en tout eacutetat de cause pouvoir le consulter agrave tout moment

8

Agrave noter il est recommandeacute de preacutevoir dans la lettre de mission du DPO que la tenue du registre constitue lrsquoune de ses missions (si crsquoest effectivement le cas) et drsquoindiquer que les informations relatives agrave chaque traitement lui seront communiqueacutees par les personnes qui en ont la charge ou qui les mettent en œuvre

Pour plus drsquoinformation sur le registre des traitements la CNIL a publieacute une fiche deacutedieacutee sur son site web qui contient notamment un modegravele de registre simplifieacute en tableur au format ouvert librement reacuteutili-sable et qui peut srsquoadapter agrave de nombreux cas de traitements de donneacutees ainsi que le registre de la CNIL

Questions freacutequentes

Comment le DPO doit-il prioriser ses missions Si lrsquoensemble des missions preacutesenteacutees ci-dessus doit ecirctre mis en œuvre par le DPO le RGPD preacutecise que le DPO laquo tient ducircment compte dans lrsquoaccomplissement de ses missions du risque associeacute aux opeacuterations de traitement compte tenu de la nature de la porteacutee du contexte et des finaliteacutes du trai-tement raquo (article 392) Cela signifie que le niveau de vigilance et de moyens doit ecirctre drsquoautant plus fort que les risques preacutesenteacutes par les traitements sont importants (suivi rigoureux des traitements de donneacutees sensibles formation de collaborateurs particuliegraverement impliqueacutes audit interne sur les mesures de seacutecuriteacute etc)

Le DPO doit-il lui-mecircme reacutepondre agrave toutes les demandes exteacuterieures Si la CNIL et toute personne concerneacutee doivent pouvoir srsquoadresser au DPO dans les cas preacutevus par les textes celui-ci nrsquoest pas tenu drsquoecirctre systeacutematiquement agrave lrsquoorigine de la reacuteponse Il doit en re-vanche srsquoassurer que chaque demande recevra un traitement adapteacute par le service compeacutetent dans les deacutelais impartis

Le DPO est-il responsable de la conformiteacute Ses recommandations sont-elles obligatoires Le DPO nrsquoest pas personnellement responsable en cas de manquement aux obligations preacutevues par le RGPD Crsquoest lrsquoorganisme qui est responsable du respect du RGPD (voir la fiche ndeg6 sur le statut du DPO) Il est impossible de transfeacuterer au deacuteleacutegueacute par deacuteleacutegation de pouvoir la responsabiliteacute incom-bant au responsable de traitement ou les obligations propres du sous-traitant

Si les recommandations du DPO ne sont pas suivies le responsable de traitement ou le DPO peuvent utilement documenter les deacutecisions qui ont eacuteteacute prises ainsi que le cas eacutecheacuteant les raisons pour lesquelles lrsquoavis du DPO nrsquoa pas eacuteteacute suivi

Le DPO peut-il effectuer drsquoautres missions que celles preacutevues agrave lrsquoarticle 39 du RGPD Il est tout agrave fait possible de confier au DPO drsquoautres tacircches agrave la condition que cela ne fasse pas obstacle agrave la reacutealisation des missions qui lui sont speacutecifiquement attribueacutees par le RGPD (y com-pris en le privant du temps neacutecessaire agrave lrsquoexeacutecution de ces missions) et ne constitue pas un conflit drsquointeacuterecircts

9

Certaines tacircches apparaissent adapteacutees par nature agrave la fonction du DPO et pourraient lui ecirctre utilement attribueacutees comme la tenue du registre des activiteacutes de traitements la participation agrave la reacutealisation ou agrave lrsquoeacutevaluation des analyses drsquoimpact srsquoil en a les compeacutetences ou la supervision des cas de violation de donneacutees personnelles

Il convient de noter qursquoaucune de ces missions ne peut ecirctre effectueacutee solitairement par le DPO qui doit neacutecessairement pouvoir travailler avec les eacutequipes traitant ou deacuteterminant les traitements de donneacutees personnelles Par ailleurs ces obligations demeurent de la responsabiliteacute du responsable de traitement ou du sous-traitant

TEXTES OFFICIELS

Sur cnilfr bull Articles 38 et 39 du RGPD sur la fonction et les missions du DPObull Articles 82 et suivants du deacutecret drsquoapplication de la loi Informatique et Liberteacutes leacutegifrancefrbull La laquo Charte des controcircles raquo de la CNIL

10


Fiche 1 Dans quels cas faut-il deacutesigner un DPO Qursquoils soient responsables de traitement ou sous-traitants la deacutesignation drsquoun deacuteleacutegueacute est obliga-toire pour bull les autoriteacutes ou organismes publics (agrave lrsquoexception des juridictions dans lrsquoexercice de leurs fonc-

tions juridictionnelles)

bull les organismes dont les activiteacutes de base les amegravenent agrave reacutealiser un suivi reacutegulier et systeacutematique de personnes agrave grande eacutechelle

bull les organismes dont les activiteacutes de base les amegravenent agrave traiter agrave grande eacutechelle des donneacutees sen-sibles ou relatives agrave des condamnations peacutenales et infractions

BONNE PRATIQUE

Mecircme en dehors de ces trois cas la deacutesignation drsquoun DPO est recommandeacutee degraves que lrsquoorganisme ren-contre des probleacutematiques relatives agrave la protection des donneacutees personnelles Cela permet de confier agrave un expert lrsquoidentification et la coordination des actions agrave mener en matiegravere de protection des donneacutees

Que regroupe lrsquoappellation laquo autoriteacutes et organismes publics raquo

Il srsquoagit des autoriteacutes nationales reacutegionales et locales mais eacutegalement drsquoorganismes tels que les structures de lrsquoenseignement supeacuterieur hocircpitaux agences sanitaires autoriteacutes administratives in-deacutependantes (AAI) eacutetablissements publics agrave caractegravere administratif (EPA) etc

BONNE PRATIQUE

Les organismes priveacutes chargeacutes drsquoune mission de service public conservent leur statut de droit priveacute et ne sont donc pas tenus de deacutesigner un DPO Neacuteanmoins comme souligneacute dans les lignes directrices sur le DPO du CEDP la deacutesignation drsquoun deacuteleacutegueacute est encourageacutee pour ces organismes mecircme dans les cas ougrave elle ne serait pas obligatoire en vertu des autres critegraveres

11

laquo Activiteacute de base raquo de quoi srsquoagit-il

Lrsquoactiviteacute de base drsquoun organisme correspond agrave son cœur de meacutetier Si un traitement de donneacutees personnelles est essentiel pour atteindre les objectifs de lrsquoorganisme alors ce critegravere est rempli

Exemple lrsquoactiviteacute de base drsquoune clinique est de fournir des soins aux patients qursquoelle prend en charge Cette activiteacute implique neacutecessairement des traitements de donneacutees relatives agrave la santeacute (dossiers meacutedicaux des patients) Le traitement de ces donneacutees doit dans ce cas ecirctre consideacutereacute comme une activiteacute de base de la clinique

Cependant lrsquoactiviteacute en support ou laquo auxiliaire raquo (exemple reacutemuneacuteration des employeacutes assistance informatique) ne constitue pas une activiteacute de base de la clinique

Comment eacutevaluer le concept de laquo grande eacutechelle raquo

Il srsquoagit des traitements qui visent agrave traiter laquo un volume consideacuterable de donneacutees personnelles au niveau reacutegional national ou supranational qui peuvent affecter un nombre important de personnes concerneacutees et qui sont susceptibles drsquoengendrer un risque eacuteleveacute raquo (consideacuterant 91 du RGPD)

Il nrsquoexiste pas de seuil applicable agrave toute situation agrave partir duquel un traitement est consideacutereacute comme mis en œuvre agrave laquo grande eacutechelle raquo Une analyse au cas par cas est neacutecessaire pour eacutevaluer ce point Cette analyse et le raisonnement qui la sous-tend peuvent utilement ecirctre inteacutegreacutes agrave la documentation

Elle doit prendre en compte un ensemble de facteurs

bull le nombre de personnes concerneacutees en valeur absolue ou en valeur relative (par rapport agrave la population concerneacutee et non pas par rapport agrave lrsquoeacutechelle de lrsquoorganisation)

bull le volume de donneacutees etou le spectre des donneacutees traiteacutees

bull la dureacutee ou la permanence des activiteacutes de traitement

bull lrsquoeacutetendue geacuteographique de lrsquoactiviteacute de traitement

12

EXEMPLES

Constituent des traitements agrave grande eacutechelle

bull le traitement des donneacutees de patients par un hocircpital dans le cadre du deacuteroulement normal de ses activiteacutes

bull le traitement des donneacutees de voyage des pas-sagers utilisant un moyen de transport public urbain (suivi par les titres de transport par exemple)

bull le traitement des donneacutees de geacuteolocalisation en temps reacuteel des clients drsquoune chaicircne internatio-nale de restauration rapide agrave des fins statistiques par un sous-traitant speacutecialiseacute dans la fourniture de ces services

bull le traitement des donneacutees de clients par une compagnie drsquoassurance ou une banque dans le cadre du deacuteroulement normal de ses activiteacutes

bull le traitement des donneacutees personnelles par un moteur de recherche agrave des fins de publiciteacute ci-bleacutee

bull le traitement des donneacutees (contenu trafic loca-lisation) par des fournisseurs de services de teacuteleacute-phonie ou internet1

Ne constituent pas des traitements agrave grande eacutechelle

bull le traitement des donneacutees de patients par un meacutedecin de quartier exerccedilant agrave titre individuel si la patientegravele est infeacuterieure agrave 10 000 personnes par an (cf le reacutefeacuterentiel pour les cabinets meacutedi-caux et parameacutedicaux)

bull le traitement des donneacutees personnelles relatives aux condamnations peacutenales et aux infractions par un avocat exerccedilant agrave titre individuel

Qursquoest-ce qursquoun laquo suivi reacutegulier et systeacutematique raquo

Le RGPD ne deacutefinit pas la notion de laquo suivi reacutegulier et systeacutematique raquo des personnes mais donne lrsquoexemple de suivi et de profilage en ligne agrave des fins de publiciteacute comportementale (consideacuterant 24 du RGPD) Le CEPD indique qursquoune ou plusieurs significations sont agrave envisager pour lrsquoexpression laquo reacutegulier et systeacutematique raquo

bull laquo reacutegulier raquo doit srsquoentendre comme

- continu ou se produisant agrave intervalles reacuteguliers au cours drsquoune peacuteriode donneacutee ou

- reacutecurrent ou se reacutepeacutetant agrave des moments fixes ou

- ayant lieu de maniegravere constante ou peacuteriodique

bull laquo systeacutematique raquo doit ecirctre compris comme

- se produisant conformeacutement agrave un systegraveme ou

- preacuteeacutetabli organiseacute ou meacutethodique ou

- ayant lieu dans le cadre drsquoun programme geacuteneacuteral de collecte de donneacutees ou

- effectueacute dans le cadre drsquoune strateacutegie

1 Tous ces exemples proviennent des Lignes directrices du CEPD sur le deacuteleacutegueacute agrave la protection des donneacutees

13

Exemples de suivi reacutegulier et systeacutematique des personnes concerneacutees

bull activiteacutes de marketing dont la personnalisation est fondeacutee sur les donneacutees personnelles

bull profilage et notation agrave des fins drsquoeacutevaluation des risques (eacutevaluation du risque de creacutedit de lrsquoeacuteta-blissement des primes drsquoassurance de la preacutevention de la fraude ou de la deacutetection du blanchi-ment drsquoargenthellip)

bull geacuteolocalisation par des applications mobiles

bull programmes de fideacuteliteacute

bull publiciteacute comportementale

bull surveillance des donneacutees sur le bien-ecirctre la santeacute et la condition physique au moyen de dispositifs portables

bull systegravemes de teacuteleacutevision en circuit fermeacute

bull dispositifs connecteacutes tels que les voitures et compteurs intelligents domotique etc

EXEMPLES DE DEacuteSIGNATION DrsquoUN DPO

Partis politiques les activiteacutes de base impliquent le traitement de cateacutegories particuliegraveres de donneacutees (opinions politiques) Par conseacutequent au vu de lrsquoarticle 371c du RGPD le critegravere restant agrave eacutevaluer pour deacuteterminer si la deacutesignation drsquoun DPO est obligatoire est le caractegravere laquo agrave grande eacutechelle raquo du traitement

Pour les partis politiques actifs au niveau national et ayant une base drsquoadheacuterents importante le critegravere de grande eacutechelle est vraisemblablement satisfait En revanche pour les petits partis ou les partis locaux ce critegravere pourrait ne pas ecirctre rempli Il convient de mener une analyse au cas par cas

Commerccedilant ou grande distribution la commercialisation des produits lrsquoencaissement des paiements et eacuteventuellement la gestion des programmes de fideacuteliteacute pourraient ecirctre consideacutereacutes comme activiteacutes de base Pour autant ces activiteacutes peuvent ne pas exiger un suivi reacutegulier et systeacutematique des personnes concerneacutees Il convient donc de mener une analyse pour chaque traitement pour veacuterifier si cela est le cas en particulier srsquoagissant de programmes de fideacuteliteacute et ainsi deacuteterminer si la deacutesignation du DPO est obligatoire


Sur cnilfr bull Article 371 du RGPD sur les cas de deacutesignations obligatoires du DPObull Consideacuterant 97 du RGPD sur la notion drsquoactiviteacute de base bull Consideacuterant 31 du RGPD sur la notion de grande eacutechelle bull Consideacuterant 24 du RGPD sur la notion de suivi du comportement des personnesbull Lignes directrices du CEPD sur le deacuteleacutegueacute agrave la protection des donneacutees (p 6 et suivantes)

14


Fiche 2 Qui peut ecirctre deacutesigneacute DPO Bien qursquoil nrsquoexiste pas de profil type pour exercer la fonction de DPO le RGPD impose que le deacute-leacutegueacute dispose drsquoun certain niveau drsquoexpertise Lrsquoorganisme doit eacutegalement veiller agrave lrsquoabsence de conflit drsquointeacuterecircts avec drsquoautres missions Connaissances et compeacutetences du deacuteleacutegueacute

La personne pressentie agrave la fonction de DPO doit disposer drsquoun certain niveau de connaissances crsquoest-agrave-dire

bull une expertise juridique et technique en matiegravere de protection des donneacutees

bull une connaissance du secteur drsquoactiviteacute de la reacuteglementation sectorielle et de lrsquoorganisation de la structure pour laquelle il est deacutesigneacute

bull une compreacutehension des opeacuterations de traitement des systegravemes drsquoinformation et des besoins de lrsquoorganisme en matiegravere de protection et de seacutecuriteacute des donneacutees

bull pour une autoriteacute publique ou un organisme public une bonne connaissance des regravegles et proceacute-dures administratives applicables

Si la personne pressentie ne possegravede pas lrsquoexpertise sur toutes ces connaissances avant son entreacutee en fonction il faudra neacutecessairement mobiliser lrsquoexpertise interne et deacutevelopper agrave tregraves court terme ses connaissances par des formations

La personne doit eacutegalement preacutesenter les qualiteacutes personnelles neacutecessaires agrave cette fonction in-teacutegriteacute haut niveau drsquoeacutethique professionnelle capaciteacute agrave communiquer vulgariser et convaincre Agrave noter le niveau drsquoexpertise exigeacute varie en fonction de la sensibiliteacute de la complexiteacute et du volume de donneacutees traiteacutees par lrsquoorganisme Ces connaissances et compeacutetences peuvent ecirctre acquises au moyen drsquoun plan de formation adapteacute au profil du futur deacuteleacutegueacute (voir la question laquo Comment un DPO peut-il se former raquo)

15

FOCUS LA CERTIFICATION DU DPO

La certification est la proceacutedure par laquelle un tiers atteste de la conformiteacute drsquoun produit drsquoun service ou drsquoune compeacutetence agrave une norme ou agrave un reacutefeacuterentiel

Depuis 2018 la CNIL agreacutee des organismes qui deacutelivrent une certification des compeacutetences du DPO sur la base de son reacutefeacuterentiel et tient une liste de ces organismes Ceux-ci proposent un examen sous la forme drsquoun questionnaire agrave choix multiples drsquoau moins cent questions portant sur la reacuteglementation la responsabiliteacute et la seacutecuriteacute

Cette certification nrsquoest accessible qursquoapregraves 2 ans drsquoexpeacuterience professionnelle en lien avec la protection des donneacutees ou 2 ans en tout domaine et une formation sur le sujet drsquoau moins 35 heures Elle est ensuite valable 3 ans

Pour son titulaire la certification constitue une preuve de son adeacutequation avec le niveau drsquoexigence de connaissance imposeacute par le RGPD Pour les organismes agrave la recherche de profils drsquoexperts laquo protection des donneacutees raquo la certification repreacutesente un gage de confiance Neacuteanmoins il nrsquoest pas obligatoire drsquoecirctre certifieacute pour ecirctre deacutesigneacute DPO

Absence de conflit drsquointeacuterecircts

Le DPO peut exercer drsquoautres fonctions au sein de lrsquoorganisme (DPO agrave temps partiel) Toutefois dans le cadre de ses autres fonctions il ne doit pas avoir de pouvoir deacutecisionnel sur la deacutetermination des finaliteacutes et moyens de traitements le DPO ne doit donc pas ecirctre laquo juge et partie raquo

Lrsquoexistence drsquoun conflit drsquointeacuterecircts srsquoappreacutecie au cas par cas Il est conseilleacute de documenter lrsquoanalyse conduisant agrave exclure lrsquoexistence de conflit drsquointeacuterecircts pour le DPO deacutesigneacute

Exemples de fonctions susceptibles de provoquer un conflit drsquointeacuterecircts directeur geacuteneacuteral des ser-vices directeur des opeacuterations meacutedecin-chef responsable du deacutepartement marketing responsable des ressources humaines responsable du service informatique etc

ATTENTION

Des fonctions de niveau hieacuterarchique laquo infeacuterieur raquo au sein de la structure organisationnelle sont eacutegalement susceptibles de donner lieu agrave un conflit drsquointeacuterecircts degraves lors qursquoen pratique la personne participe agrave la deacutetermination des finaliteacutes et des moyens du traitement

16

FOCUS DOCUMENTER LE CHOIX DE SON DPO

Lorsqursquoun organisme deacutesigne un DPO il doit ecirctre en capaciteacute de prouver que son DPO reacutepond aux exi-gences du RGPD (connaissances et compeacutetences absence de conflit drsquointeacuterecircts etc)

La CNIL ne veacuterifie pas ces preacuterequis au moment de la deacutesignation Selon le principe drsquoaccountability crsquoest agrave lrsquoorganisme qui deacutesigne un DPO drsquoassembler en interne une documentation permettant drsquoattester que le deacuteleacutegueacute deacutesigneacute reacutepond aux exigences du RGPD En cas de controcircle de la CNIL il peut ecirctre deman-deacute agrave lrsquoorganisme de preacutesenter cette documentation

Exemples CV fiche de poste analyse eacutecrite sur lrsquoabsence de conflit drsquointeacuterecircts eacuteventuelle certification etc


Quel profil faut-il posseacuteder pour ecirctre DPO Il nrsquoexiste pas de profil type du DPO En effet selon lrsquoeacutetude sur les DPO reacutealiseacutee par lrsquoAFPA en partena-riat avec la CNIL2 environ 28 des DPO ont un profil informatique et le mecircme pourcentage un profil juridique les 43 restant provenant de lrsquoadministratif de la finance de la conformiteacute de lrsquoaudit etc

Un DPO doit-il justifier drsquoun diplocircme particulier Lrsquoobtention drsquoun diplocircme particulier ou le suivi drsquoune formation speacutecifique ne sont pas exigeacutes pour ecirctre deacutesigneacute DPO Cependant le deacuteleacutegueacute doit disposer des compeacutetences et connaissances adeacute-quates pour exercer ses missions

Ainsi si le DPO ne dispose pas drsquoun diplocircme speacutecialiseacute dans la protection des donneacutees il aura freacutequemment compleacuteteacute sa formation acadeacutemique par une expeacuterience professionnelle ou une for-mation continue dans la seacutecuriteacute informatique le droit ou toute autre matiegravere pertinente pour lrsquoexercice de ses fonctions

Le responsable de traitement recrutant un DPO doit srsquoassurer que le candidat retenu dispose des connaissances speacutecialiseacutees requises et doit lui permettre drsquoentretenir et compleacuteter ses savoirs

DPO et RSSI un conflit drsquointeacuterecircts Un responsable de la seacutecuriteacute des systegravemes drsquoinformation peut ecirctre deacutesigneacute DPO srsquoil ne dispose pas en tant que RSSI drsquoun pouvoir deacutecisionnel dans la deacutetermination des finaliteacutes et des moyens des traitements de donneacutees personnelles mis en œuvre par sa structure

DPO et repreacutesentant du personnel un conflit drsquointeacuterecircts Un deacuteleacutegueacute du personnel peut ecirctre ameneacute dans le cadre drsquoun vote agrave prendre position sur certains sujets ou projets en lien avec le traitement de donneacutees personnelles notamment la gestion du per-sonnel Dans cette hypothegravese il peut exister un risque de conflit drsquointeacuterecircts avec la fonction de DPO Selon le mecircme raisonnement un DPO peut figurer dans un comiteacute drsquoeacutethique ou de deacuteontologie si tant est que cela ne creacutee pas de risques de conflits drsquointeacuterecircts

2 laquo Deacuteleacutegueacute agrave la protection des donneacutees (DPO) un meacutetier qui se deacuteveloppe une fonction qui se structure raquo Eacutetude reacutealiseacutee par la direction prospective meacutetier de lrsquoAFPA agrave la demande du ministegravere du Travail de lrsquoEmploi et de lrsquoInclusion (DGEFP) en partenariat avec la CNIL et lrsquoAFCDP (2020)

17

Le repreacutesentant dans lrsquoUnion europeacuteenne drsquoun responsable de traitement ou drsquoun sous-traitant eacutetabli hors de lrsquoUnion peut-il ecirctre deacutesigneacute DPO Le repreacutesentant drsquoun responsable du traitement ou drsquoun sous-traitant qui nrsquoest pas eacutetabli dans lrsquoUnion ne peut en principe pas ecirctre deacutesigneacute DPO pour cet organisme car cela constituerait un conflit drsquointeacuterecircts

Une personne morale peut-elle ecirctre sous-traitante et DPO pour un mecircme organisme Il nrsquoexiste pas drsquointerdiction de principe agrave ce qursquoun prestataire par ailleurs sous-traitant3 soit deacute-signeacute DPO pour son client Il srsquoagirait alors drsquoune prestation de services distincte qui ne srsquoeffectue-rait pas dans le cadre des instructions du responsable de traitement Cela pourrait ecirctre le cas par exemple drsquoun organisme offrant des prestations de services numeacuteriques et de DPO externaliseacute

Cependant une analyse au cas par cas doit ecirctre meneacutee pour eacutevaluer si la situation est de nature agrave compromettre lrsquoindeacutependance du DPO dans lrsquoexercice de ses missions Cette analyse participe de la documentation du responsable de traitement et du sous-traitant

Dans certains cas il est neacutecessaire de mettre en place des mesures permettant de garantir cette indeacutependance Il convient alors de precircter attention

bull au statut (public ou priveacute) des acteurs en question les acteurs publics nrsquoeacutetant pas soumis aux mecircmes contraintes de profit

bull agrave la possibiliteacute de preacutevoir des points de contact diffeacuterents chez le prestataire (un en tant que sous-traitant un en tant que prestataireDPO)

bull agrave la possibiliteacute de preacutevoir deux contrats distincts

Pour ne pas se retrouver agrave la fois juge et partie et ecirctre ainsi agrave lrsquoabri des conflits drsquointeacuterecircts la per-sonne exerccedilant la fonction de deacuteleacutegueacute ne doit toutefois avoir ni la position de dirigeant ni la qualiteacute de donneur drsquoordre au sein de la structure

Une mecircme personne peut-elle ecirctre DPO pour un responsable de traitement et son sous-traitant Le RGPD nrsquointerdit pas agrave un DPO drsquoecirctre deacutesigneacute pour un responsable de traitement et son sous-trai-tant

Cependant selon un raisonnement similaire agrave celui preacutesenteacute ci-dessus et compte tenu de lrsquoexigence drsquoindeacutependance il est recommandeacute drsquoeacutevaluer si lrsquoorganisation et les mesures prises permettent de garantir cette indeacutependance Ces eacuteleacutements devront ecirctre inclus dans la documentation du respon-sable de traitement et de son sous-traitant

Il convient en particulier de deacutefinir comment cette indeacutependance peut ecirctre assureacutee dans les mo-ments ougrave les deux structures peuvent disposer drsquointeacuterecircts divergents par exemple dans le cadre de lrsquoexamen du contrat entre le responsable de traitement et le sous-traitant

3 Un sous-traitant traite les donneacutees pour le compte sur instruction et sous lrsquoautoriteacute drsquoun responsable de traitement (ex heacutebergement maintenance etc)

18

Un mecircme deacuteleacutegueacute peut-il ecirctre deacutesigneacute pour des organismes concurrents Un deacuteleacutegueacute externe peut ecirctre deacutesigneacute pour des organismes en situation de concurrence degraves lors que ces diffeacuterentes missions et tacircches nrsquoentraicircnent pas de conflits drsquointeacuterecircts En effet le DPO est soumis agrave une obligation de confidentialiteacute ou au secret professionnel et peut ainsi travailler pour des employeurs concurrents sans mettre en danger la confidentialiteacute de chacune des parties

Peut-on designer un avocat comme DPO Un avocat peut ecirctre deacutesigneacute DPO drsquoun organisme sur la base drsquoun contrat de service (DPO externe) Cependant cet avocat ne peut pas repreacutesenter cet organisme devant les tribunaux dans des dos-siers impliquant des sujets en matiegravere de donneacutees personnelles degraves lors que cette repreacutesentation pourrait constituer un conflit drsquointeacuterecircts

Un eacutelu politique peut-il ecirctre DPO Un eacutelu ne peut pas exercer les fonctions de deacuteleacutegueacute pour la collectiviteacute dont il est eacutelu en raison drsquoun conflit drsquointeacuterecircts En effet ce dernier participe agrave la prise des deacutecisions sur les traitements de donneacutees mis en œuvre par la collectiviteacute

Un secreacutetaire de mairie peut-il ecirctre DPO Dans les petites collectiviteacutes les secreacutetaires de mairie sont souvent pressentis pour occuper la fonc-tion de DPO Or lrsquoexercice des missions associeacutees peut parfois se heurter agrave des difficulteacutes manque de temps agrave consacrer au sujet et risque de conflits drsquointeacuterecircts

Ainsi avant de proceacuteder agrave la deacutesignation le maire doit bien srsquoassurer que le DPO pressenti ne prend pas part aux deacutecisions concernant les fichiers exploiteacutes par la collectiviteacute (objectifs et conditions de mise en œuvre donneacutees traiteacutees destinataires dureacutees de conservation mesures de seacutecuriteacute etc) et qursquoil dispose du temps suffisant pour accomplir ses missions

Un stagiaire ou un apprenti peut-il ecirctre DPO Bien que cette possibiliteacute ne soit pas exclue explicitement par le RGPD elle apparaicirct difficilement compatible avec les exigences lieacutees agrave lrsquoexercice de la fonction Outre les difficulteacutes que cette deacutesi-gnation pourrait comporter en termes de droit du travail (affectation drsquoun stagiaire agrave un poste de travail permanent) il faut relever que

bull le DPO doit disposer de laquo connaissances speacutecialiseacutees raquo alors que le stagiaireapprenti est en poste pour apprendre

bull le stagiaireapprenti devrait pouvoir beacuteneacuteficier de conseils et de remarques sur son travail ce qui contredit le fait que le DPO ne doit recevoir aucune instruction sur lrsquoexercice de ces missions

bull la mission du DPO est une mission au long cours aussi bien dans la mise en conformiteacute initiale de lrsquoorganisme que dans le suivi des nouveaux projets ce qui se concilie mal avec la dureacutee limiteacutee drsquoun stage Agrave ce titre les lignes directrices du CEPD sur le DPO recommande de privileacutegier les contrats les plus longs pour ce poste

Comment eacutevaluer lrsquoindeacutependance du DPO Lrsquoindeacutependance reacuteelle du DPO dans son rocircle drsquoanalyse et de conseil suppose que deux types drsquoim-partialiteacutes soient respecteacutes

19

bull une impartialiteacute objective le DPO nrsquoest pas juge et partie car il nrsquoest pas ameneacute agrave controcircler ce qursquoil a lui-mecircme deacutecideacute seul ou conjointement

bull une impartialiteacute subjective le DPO est agrave lrsquoabri drsquoinfluences guideacutees par des inteacuterecircts divergents de nature agrave alteacuterer la liberteacute de ses positionnements

Que risque un organisme qui ne deacutesigne pas de DPO Un organisme qui nrsquoaurait pas deacutesigneacute de DPO lorsque cette deacutesignation est obligatoire srsquoexposerait agrave une sanction de la CNIL qui pourrait notamment prendre la forme drsquoun rappel agrave lrsquoordre drsquoune injonction agrave se mettre en conformiteacute ou drsquoune amende administrative pouvant srsquoeacutelever jusqursquoagrave 10 millions drsquoeuros ou 2 du chiffre drsquoaffaires annuel mondial de lrsquoexercice preacuteceacutedent le montant le plus eacuteleveacute eacutetant retenu

TEXTES OFFICIELS

Sur cnilfr bull Article 375 du RGPD sur les connaissances et compeacutetences du deacuteleacutegueacute bull Article 386 du RGPD sur lrsquoabsence de conflit drsquointeacuterecircts bull Lignes directrices du CEPD relatives au deacuteleacutegueacute agrave la protection des donneacutees

(p13 et suivantes p 19 et suivantes)

20


Fiche 3 DPO interne ou externe Comment mutualiser la fonction Chaque organisme est libre drsquoorganiser la fonction de DPO selon ses besoins Il srsquoagit drsquoun choix qui appartient agrave lrsquoentiteacute en fonction notamment des avantages et inconveacutenients du recours agrave un DPO externe ou interne de lrsquooffre interne disponible et de lrsquoorganisation de la structure

DPO interne

Le deacuteleacutegueacute peut ecirctre un membre du personnel de lrsquoorganisme Il peut exercer ses fonctions agrave temps plein ou agrave temps partiel

Avantages

bull connaissance de lrsquoorganisation de la structure des services ainsi que du secteur drsquoactiviteacute

bull proximiteacute avec les interlocuteurs internes

bull meilleure reacuteactiviteacute en cas de sollicitation in-terne sur les sujets en lien avec la protection des donneacutees

bull plus facile de preacutevoir sa preacutesence en cas de controcircle de la CNIL

Points de vigilance

bull risque de conflit drsquointeacuterecircts si le deacuteleacutegueacute exerce drsquoautres missions

bull attribution de temps suffisant au deacuteleacutegueacute

bull positionnement hieacuterarchique adeacutequat

bull eacuteventuel plan de formation adapteacute au profil du DPO agrave preacutevoir

DPO externe

La fonction de DPO peut ecirctre exerceacutee sur la base drsquoun contrat de service conclu avec une personne physique (exemple consultant salarieacute drsquoune filiale du groupe etc) ou morale (exemple cabinet drsquoavocats cabinet de conseil centre de gestion syndicat mixte etc)

21

Avantages

bull solution agrave lrsquoabsence de ressources humaines in-ternes

bull recours agrave lrsquoexpeacuterience et aux outils deacuteveloppeacutes par le deacuteleacutegueacute externe

bull speacutecialisation du DPO dans un secteur

bull connaissance des bonnes pratiques pour des or-ganismes similaires

Points de vigilance

bull organisation de points drsquoeacutechange et de contacts reacuteguliers avec le niveau le plus eacuteleveacute de la di-rection ainsi qursquoavec les eacutequipes meacutetiers pour maintenir une proximiteacute

bull rendre le contact du DPO externe aussi systeacutema-tique simple et facile que le contact drsquoune per-sonne interne

bull difficulteacute de choisir son prestataire et de srsquoassu-rer de son expertise

DPO mutualiseacute

Qursquoil srsquoagisse drsquoun deacuteleacutegueacute interne ou externe un DPO peut ecirctre mutualiseacute crsquoest-agrave-dire deacutesigneacute pour plusieurs entiteacutes

Avantages

bull lissage des coucircts lieacutes agrave la deacutesignation du deacuteleacutegueacute pour les entiteacutes drsquoun mecircme groupe

bull uniformisation des proceacutedures entre les entiteacutes ayant mutualiseacute la fonction

bull pilotage transversal de la conformiteacute entre orga-nismes ayant les mecircmes preacuteoccupations

Points de vigilance

bull organisation des points drsquoeacutechange et de contacts reacuteguliers avec les eacutequipes meacutetiers pour mainte-nir une proximiteacute

bull risque pour le deacuteleacutegueacute de ne pas ecirctre tenu infor-meacute des sujets internes lieacutes agrave la protection des donneacutees

bull mise en place drsquoune organisation permettant drsquoassurer un pilotage efficient de la conformiteacute (ex relais reacutefeacuterents)

La mutualisation est possible sous certaines conditions qui varient selon le type de structure

bull pour le secteur priveacute un groupe drsquoentreprises peut deacutesigner un seul DPO agrave condition qursquoil soit facilement joignable agrave partir de chaque lieu drsquoeacutetablissement

EXEMPLES

Dans le cas drsquoun groupe composeacute de 6 filiales implanteacutees dans diffeacuterents Eacutetats membres de lrsquoUnion europeacuteenne un seul deacuteleacutegueacute (salarieacute drsquoune des filiales ou prestataire externe) peut ecirctre deacutesigneacute pour la maison megravere et lrsquoensemble des socieacuteteacutes du groupe agrave condition de mettre en place une organisation adeacutequate

22

Nrsquoeacutetant pas physiquement preacutesent dans chacune des filiales le deacuteleacutegueacute peut par exemple ecirctre soutenu par un reacuteseau de laquo relais raquo ou de laquo reacutefeacuterents raquo chargeacutes notamment drsquoapporter un appui opeacuterationnel au DPO tout en lui faisant remonter les questions qui se posent

bull pour le secteur public la fonction de deacuteleacutegueacute peut ecirctre mutualiseacutee entre plusieurs autoriteacutes ou organismes publics compte tenu de leur structure organisationnelle et de leur taille

La mutualisation est une solution particuliegraverement adapteacutee pour les plus petites collectiviteacutes terri-toriales Elle leur permet en effet de diminuer les coucircts financiers associeacutes agrave la fonction tout en beacute-neacuteficiant des services de professionnels disposant de compeacutetences Informatique et Liberteacutes de la connaissance des probleacutematiques propres au secteur public local et de la disponibiliteacute neacutecessaire agrave un exercice efficace des missions

Elle peut notamment intervenir au niveau drsquoun eacutetablissement public de coopeacuteration intercommu-nale telle une communauteacute de communes ou drsquoagglomeacuteration ou drsquoun opeacuterateur public de ser-vices numeacuteriques comme un syndicat mixte une agence technique deacutepartementale ou un centre de gestion de la fonction publique territoriale accompagnant le deacuteveloppement de lrsquoe-administra-tion sur son territoire

Les collectiviteacutes territoriales eacutetablissements publics locaux et organismes priveacutes chargeacutes drsquoune mis-sion de service public qui optent pour la mutualisation doivent conclure une convention deacutefinissant les conditions dans lesquelles celle-ci srsquoexerce

Pour plus drsquoinformation sur les initiatives de mutualisation au sein des collecti-viteacutes territoriales

Voir les fiches laquo En quoi les collectiviteacutes territoriales sont-elles impacteacutees par le regraveglement euro-peacuteen sur la protection des donneacutees raquo et laquo Deacutesigner un deacuteleacutegueacute agrave la protection des donneacutees dans une collectiviteacute raquo sur le site web de la CNIL (rubrique laquo Collectiviteacutes territoriales raquo)

FOCUS LA CONVENTION DE MUTUALISATION POUR LES ORGANISMES PUBLICS

Les collectiviteacutes territoriales les eacutetablissements publics administratifs locaux et les personnes morales de droit priveacute geacuterant un service public qui optent pour la mutualisation ont lrsquoobligation de conclure une convention de mutualisation (art 84 du deacutecret drsquoapplication de la loi Informatique et Liberteacutes)

Cette convention deacutefinit les conditions dans lesquelles srsquoexerce cette mutualisation


23


DPO interne temps partiel ou temps plein Il srsquoagit drsquoune deacutecision laisseacutee agrave lrsquoappreacuteciation du responsable de traitement ou du sous-traitant qui deacutesigne un DPO

La deacutesignation drsquoun deacuteleacutegueacute agrave temps partiel impose une eacutevaluation de sa charge de travail afin de lui allouer le temps neacutecessaire agrave lrsquoexercice de ses missions (voir fiche ndeg5)

Selon lrsquoeacutetude reacutealiseacutee par lrsquoAFPA en partenariat avec la CNIL4 seul un quart des DPO internes exerce cette mission agrave temps plein

Un DPO peut-il ecirctre deacutesigneacute pour une dureacutee limiteacutee Les organismes pour lesquels la deacutesignation drsquoun deacuteleacutegueacute nrsquoest pas obligatoire peuvent preacutevoir que le DPO interne ou externe exerce ses missions pour une dureacutee limiteacutee Celle-ci doit cependant ecirctre suffi-sante pour lui permettre un travail approfondi sur la mise en conformiteacute qui dans une large majoriteacute des cas requiert plusieurs mois voire plusieurs anneacutees Une disponibiliteacute temporelle de long terme peut faire partie des moyens que lrsquoorganisme fournit au DPO Il est conseilleacute de formaliser ce point dans la lettre de mission ou dans le contrat de prestation de service

DPO externe quelles sont les exigences vis-agrave-vis des salarieacutes de lrsquoorganisme deacutesigneacute DPO Lorsque la fonction de deacuteleacutegueacute est exerceacutee par un prestataire de services externe une eacutequipe de personnes travaillant pour le compte de cette entiteacute peut dans les faits exercer les missions du deacuteleacutegueacute en tant que groupe Dans ce cas il est conseilleacute de preacutevoir dans le contrat de service une reacutepartition claire des tacircches au sein de lrsquoeacutequipe externe chargeacutee de la fonction de DPO et drsquoidenti-fier clairement la personne qui agit comme le contact en charge du clientIl est eacutegalement recommandeacute que chaque collaborateur du prestataire exerccedilant les fonctions de DPO remplisse lrsquoensemble des exigences applicables (indeacutependance ressources et moyens suffi-sants absence de conflit drsquointeacuterecircts etc)

DPO mutualiseacute comment deacutesigner aupregraves de la CNIL En cas de mutualisation de la fonction de DPO pour un groupe drsquoentiteacutes chacune de ces entiteacutes doit en tant que responsable de traitement ou sous-traitant compleacuteter un formulaire de deacutesignation du deacuteleacutegueacute

Pour les entiteacutes ayant un nombre important de deacutesignations agrave reacutealiser une proceacutedure de deacutesigna-tion speacutecifique (laquo deacutesignation multiple raquo) est proposeacutee (pour plus drsquoinformation contactez le service des DPO de la CNIL)

TEXTES DE REacuteFEacuteRENCE

Sur cnilfr bull Article 376 du RGPD sur la deacutesignation drsquoun deacuteleacutegueacute interne ou externe bull Articles 83 et 84 du deacutecret ndeg 2019-536 du 29 mai 2019 sur les modaliteacutes de deacutesignation du DPO aupregraves de

la CNIL et la convention de mutualisation professionnelle

24


Fiche 4 comment deacutesigner un DPO Eacutetape ndeg 1 choisir le laquo bon DPO raquo

Un DPO externe peut ecirctre une personne physique ou morale mais un DPO deacutesigneacute en interne ne peut ecirctre qursquoune personne physique (un salarieacute par exemple)La proceacutedure de deacutesignation interne drsquoun DPO impose de srsquointerroger preacutealablement sur la per-sonne pressentie pour ce poste il est agrave cet eacutegard important de se poser les bonnes questions afin par la suite drsquoecirctre en capaciteacute de justifier son choix

Le choix drsquoun DPO en interne doit notamment tenir compte de bull lrsquointeacuterecirct de la personne pressentie pour les missions du DPO et lrsquoappeacutetence pour la matiegravere de la

protection des donneacutees

bull son profil au regard de ses qualifications et de son absence de conflits drsquointeacuterecircts (voir fiche ndeg 2)

bull les conditions drsquoexercice de ses missions (ressources suffisantes accegraves aux informations utiles et indeacutependance - voir fiches ndeg5 et 6)

DEacuteSIGNER UN DPO LES QUESTIONS CLEacuteS Le document laquo Les questions cleacutes agrave se poser lors de la deacutesignation drsquoun DPO raquo (annexe ndeg 1) permet de veacuterifier que les exigences du RGPD concernant un futur deacuteleacutegueacute sont satisfaites

Eacutetape ndeg 2 formaliser la deacutesignation

Il est recommandeacute de formaliser les missions confieacutees au DPO au travers drsquoun document speacutecifique Exemples lettre de mission avenant au contrat de travail fiche de poste contrat de prestation de service pour le DPO externe etc

Ce document peut eacutegalement ecirctre lrsquooccasion de deacutefinir les modaliteacutes de travail du DPO (moyens al-loueacutes interlocuteurs relais identifieacutes freacutequence des reacuteunions avec la direction de lrsquoorganisme et les services traitant les donneacutees circuit de communication etc) en deacutecrivant comment les obligations de lrsquoorganisme deacutesignant seront transposeacutees en pratique

EXEMPLE DE LETTRE DE MISSION Le preacutesent guide propose un exemple de lettre de mission agrave remettre au DPO (voir Annexe ndeg 2) Cette derniegravere doit bien sucircr ecirctre adapteacutee et preacuteciseacutee en fonction des missions deacutevolues au deacuteleacutegueacute et des conditions drsquoexercice de sa fonction

25

Eacutetape ndeg 3 faire connaicirctre son DPO

La deacutesignation drsquoun DPO devrait srsquoaccompagner drsquoactions de communication agrave mecircme drsquoapporter de la visibiliteacute agrave la fonction et aux coordonneacutees du deacuteleacutegueacute au sein de lrsquoorganisme par exemple vis-agrave-vis de tous les collaborateurs (agents ou salarieacutes) des instances repreacutesentatives du personnel et des comiteacutes de direction ou instances exeacutecutivesExemples drsquoactions de communication note drsquoinformation envoyeacutee par la direction agrave lrsquoensemble du personnel note interne publieacutee sur lrsquointranet ou par affichage (voir agrave titre drsquoexemple lrsquoaffiche de la CNIL laquo Adoptez les 6 bons reacuteflexes raquo) preacutesentation interne devant les instances de direction publication de la lettre de mission etc

Ce type drsquoactions a pour objectif de communiquer en interne sur le rocircle du DPO son statut les moyens qui lui sont affecteacutes et les proceacutedures associeacutees agrave lrsquoexercice de ses missions Crsquoest aussi lrsquooccasion de rappeler lrsquoenjeu de la conformiteacute et de preacutesenter les futurs chantiers qui seront piloteacutes par le DPO

Agrave noter le deacuteleacutegueacute est en contact permanent avec les services et directions de lrsquoorganisme Ce plan de communication est donc particuliegraverement important dans la mesure ougrave il assure au DPO les conditions les plus favorables agrave sa prise de fonction

Eacutetape ndeg 4 deacutesigner son DPO aupregraves de lrsquoautoriteacute de controcircle compeacutetente

Avant de proceacuteder agrave la deacutesignation de son deacuteleacutegueacute un organisme travaillant dans plusieurs pays doit srsquoassurer que la CNIL est lrsquoautoriteacute compeacutetente pour la deacutesignation (voir la question laquo Aupregraves de quelle autoriteacute de controcircle deacutesigner mon DPO raquo) Srsquoil srsquoagit de la CNIL il peut alors proceacuteder agrave la deacutesignation en ligne de son deacuteleacutegueacute

La deacutesignation du DPO aupregraves de la CNIL ne se fait qursquoen ligne via le teacuteleacuteservice deacutedieacute Aucun courrier postal nrsquoest traiteacute et il nrsquoest pas neacutecessaire drsquoenvoyer de documents justificatifs tels qursquoune deacutelibeacuteration du conseil municipal portant deacutesignation du deacuteleacutegueacute

Les 4 eacutetapes du formulaire de deacutesignation sont deacutetailleacutees dans lrsquoannexe 3 de ce guide


Un DPO peut-il faire lrsquoobjet drsquoune deacutesignation partielle Le DPO est deacutesigneacute pour toutes les opeacuterations de traitement effectueacutees par le responsable du trai-tement ou le sous-traitant (point 21 des lignes directrices du CEPD sur le DPO) Par conseacutequent la deacutesignation partielle drsquoun DPO (exemple deacutesignation drsquoun DPO uniquement pour les traitements RH) nrsquoest pas possible

Le rocircle de DPO peut-il ecirctre rempli par plusieurs personnes Un organisme ne peut deacutesigner qursquoune seule personne en tant que deacuteleacutegueacute agrave la protection des don-neacutees Celui-ci peut cependant ecirctre eacutepauleacute par une eacutequipe travailler en collaboration avec les autres meacutetiers de lrsquoorganisme ou disposer drsquoun reacuteseau de laquo relais Informatique et Liberteacutes raquo agrave mecircme de lrsquoaider agrave sensibiliser aux questions de protection des donneacutees ou de lui faire remonter les questions les projets ou les demandes drsquoexercice de droit

26

Les instances repreacutesentatives du personnel doivent-elles obligatoirement ecirctre informeacutees de la deacutesignation du DPO Lrsquoinformation des instances repreacutesentatives du personnel nrsquoest pas exigeacutee par la reacuteglementation Cela reste toutefois une bonne pratique afin drsquoassurer une transparence et une bonne visibiliteacute de la deacutesignation du deacuteleacutegueacute au sein de lrsquoorganisme

Collectiviteacutes territoriales la deacutesignation du DPO neacutecessite-t-elle lrsquoenvoi agrave la CNIL drsquoune deacutelibeacuteration ou drsquoun arrecircteacute se rapportant agrave lrsquoexercice de la fonction Non aucun document justificatif nrsquoest demandeacute pour la deacutesignation du deacuteleacutegueacute aupregraves de la CNIL Pour les collectiviteacutes territoriales il nrsquoest donc pas neacutecessaire de lui envoyer en compleacutement du suivi de la proceacutedure en ligne preacutevue agrave cet effet lrsquoeacuteventuelle deacutelibeacuteration portant creacuteation de lrsquoemploi ou lrsquoar-recircteacute portant deacutesignation du deacuteleacutegueacute Seule la proceacutedure en ligne est neacutecessaire pour deacutesigner un DPO

Agrave quelle date la deacutesignation du deacuteleacutegueacute devient-elle effective La deacutesignation du deacuteleacutegueacute est effective le lendemain de la validation du formulaire de deacutesignation en ligne par lrsquoorganisme

Aupregraves de quelle autoriteacute de controcircle en Europe deacutesigner mon DPO La deacutetermination de lrsquoautoriteacute aupregraves de laquelle il convient de deacutesigner le DPO ne deacutepend ni de la localisation de celui-ci ni de la qualiteacute de socieacuteteacute-megravere ou de filiale de lrsquoorganisme En revanche la nature des traitements mis en œuvre a une incidence

bull Pour les traitements locaux (mis en œuvre par les eacutetablissements drsquoun organisme dans un seul pays et nrsquoaffectant sensiblement que des personnes de ce pays) le DPO doit ecirctre deacutesigneacute aupregraves de lrsquoautoriteacute locale compeacutetente srsquoagissant des traitements locaux (siegravege social du responsable de traitement ou du sous-traitant qui correspond agrave lrsquoautoriteacute de lrsquoEacutetat membre ougrave sont mis en œuvre les traitements locaux)

bull Pour les traitements transfrontaliers dans lrsquohypothegravese ougrave le responsable de traitement (megravere ou filiale) met eacutegalement en œuvre des traitements transfrontaliers le DPO doit ecirctre deacutesigneacute aupregraves de lrsquoautoriteacute chef de file

Lrsquoautoriteacute chef de file est celle du pays ougrave est situeacute lrsquoeacutetablissement principal (lieu du siegravege social ou lieu de lrsquoeacutetablissement au sein duquel seront prises les deacutecisions relatives aux finaliteacutes et aux mo-daliteacutes du traitement) Par conseacutequent elle est freacutequemment eacutegalement compeacutetente pour certains traitements locaux

EXEMPLE

Un DPO est mutualiseacute pour un groupe de socieacuteteacutes dont la maison megravere est en Italie et la filiale en France En tant que DPO de la filiale franccedilaise il doit ecirctre deacutesigneacute aupregraves de la CNIL srsquoagissant des traitements locaux et des traitements transfrontaliers dont la filiale franccedilaise est responsable de traitement Aucune deacutemarche aupregraves de lrsquoautoriteacute italienne nrsquoest requise par la filiale franccedilaise De la mecircme faccedilon la mai-son megravere en Italie doit deacutesigner ce DPO aupregraves de lrsquoautoriteacute de controcircle italienne pour ses traitements locaux et les traitements transfrontaliers dont elle est responsable de traitement

27

Ce raisonnement srsquoapplique qursquoil srsquoagisse du mecircme DPO deacutesigneacute pour lrsquoensemble des entiteacutes du groupe (mutualiseacute) ou drsquoun DPO diffeacuterent pour chaque entiteacute du groupe

Est-il possible pour un salarieacute de refuser drsquoecirctre deacutesigneacute DPO

Les regravegles geacuteneacuterales du droit du travail srsquoappliquent ici si cette deacutesignation constitue une modifi-cation substantielle du contrat de travail alors la personne doit ecirctre mise en position de la refuser Agrave cette regravegle geacuteneacuterale peuvent srsquoajouter des regravegles particuliegraveres si par exemple la modification du contrat de travail eacutetait preacutevue dans le contrat ou si le salarieacute est par ailleurs un salarieacute proteacutegeacute (repreacutesentant du personnel par exemple)

Les raisons amenant un salarieacute agrave refuser ou agrave souhaiter refuser la fonction de DPO (pas assez de res-sources pour organiser la fonction notamment temporelles pas de connaissances suffisantes etc) peuvent ecirctre un indice seacuterieux que les obligations incombant agrave lrsquoorganisme lors de la deacutesignation du deacuteleacutegueacute ne sont pas respecteacutees


Sur cnilfr bull Article 377 du RGPD sur la deacutesignation du DPO aupregraves de lrsquoautoriteacute de controcircle bull Articles 83 et 84 du deacutecret ndeg 2019-536 du 29 mai 2019 sur les modaliteacutes de deacutesignation du DPO aupregraves de

la CNIL et la convention de mutualisationbull Lignes directrices du CEPD sur la deacutesignation drsquoune autoriteacute de controcircle chef de file drsquoun responsable du

traitement ou drsquoun sous-traitant

28


Fiche 5 quels moyens doivent ecirctre attribueacutes au DPO Le deacuteleacutegueacute doit beacuteneacuteficier des moyens neacutecessaires agrave lrsquoexercice de ses missions ce qui signifie qursquoil doit ecirctre associeacute agrave toutes les questions relatives agrave la protection des donneacutees et disposer de res-sources suffisantes

Lrsquoassociation du DPO agrave toutes les questions relatives agrave la protection des don-neacutees

Il est essentiel que le deacuteleacutegueacute ou le cas eacutecheacuteant son eacutequipe soit associeacute le plus tocirct possible agrave toutes les questions relatives agrave la protection des donneacutees Lrsquoinformation et la consultation du DPO degraves qursquoun projet de traitement est envisageacute permettront de faciliter le respect du RGPD et drsquoencourager une approche fondeacutee sur la protection des donneacutees degraves la conception (dite laquo by design raquo) Le DPO doit ecirctre un interlocuteur naturel au sein de lrsquoorganisme par exemple en eacutetant associeacute aux groupes de travail consacreacutes aux activiteacutes de traitement de donneacutees au sein de lrsquoorganisme

Agrave titre drsquoexemple lrsquoorganisme veille notamment agrave ce que

bull le DPO soit inviteacute agrave participer reacuteguliegraverement aux reacuteunions strateacutegiques de lrsquoorganisme qui deacutefi-nissent en amont les projets impliquant des donneacutees personnelles

bull sa preacutesence soit recommandeacutee lorsque des deacutecisions ayant des implications en matiegravere de pro-tection des donneacutees sont prises

bull le DPO puisse dialoguer et travailler avec les fonctions jouant un rocircle important dans la protection des donneacutees telles que le responsable de la seacutecuriteacute des systegravemes drsquoinformation

bull toutes les informations pertinentes soient transmises au DPO en temps utile afin de lui permettre de fournir un avis pertinent et eacuteclaireacute

bull lrsquoavis du DPO soit toujours seacuterieusement pris en consideacuteration En cas de deacutesaccord il est recom-mandeacute agrave titre de bonne pratique de consigner les raisons pour lesquelles lrsquoavis du DPO nrsquoa pas eacuteteacute suivi

bull le DPO soit immeacutediatement consulteacute lorsqursquoune violation de donneacutees ou un autre incident (signa-lement releveacute dans la presse reacuteclamations etc) se produit

Les ressources du DPO

Le RGPD preacutevoit que lrsquoorganisme doit fournir au DPO les ressources neacutecessaires agrave la reacutealisation de ses tacircches (temps neacutecessaire accegraves agrave des ressources financiegraveres collaborateurs srsquoil en a le besoin) en lui facilitant lrsquoaccegraves aux donneacutees et aux opeacuterations de traitement (accegraves faciliteacute aux autres ser-vices de lrsquoorganisme) et en lui permettant drsquoentretenir ses connaissances speacutecialiseacutees

Les ressources du DPO doivent ecirctre adapteacutees agrave la taille la structure et lrsquoactiviteacute de lrsquoorganisme Ainsi plus les opeacuterations de traitement sont complexes ou sensibles plus les ressources octroyeacutees au DPO devront ecirctre importantes

29

Il est recommandeacute de preacuteciser le type de ressources alloueacutees au DPO dans la lettre de mission en tant qursquoengagement de lrsquoorganisme vis-agrave-vis du DPO pour lui permettre drsquoexercer au mieux ses missions

EXEMPLES DE RESSOURCES Agrave FOURNIR AU DPO

bull La reconnaissance et la valorisation de la fonction du DPO par lrsquoencadrement supeacuterieur (par exemple au niveau du conseil drsquoadministration)

bull Le temps suffisant pour que le DPO puisse accomplir ses tacircches Cet aspect est particuliegraverement impor-tant lorsque le DPO exerce ses missions agrave temps partiel Il est eacutegalement recommandeacute de deacuteterminer conjointement avec le DPO lrsquoestimation du temps neacutecessaire agrave lrsquoexercice de sa fonction (le besoin est plus important lors de lrsquoentreacutee dans la fonction) qursquoun plan de travail soit deacutefini et que les tacircches du DPO y soient prioriseacutees

bull Le soutien adeacutequat du point de vue des ressources financiegraveres (deacutetenir un budget propre ou disponible pour des actions de sensibilisations ou pour recruter une eacutequipe de faccedilon temporaire ou permanente) et des infrastructures (locaux installations eacutequipements)

bull Lrsquoaccegraves par deacutefaut agrave la documentation juridique engageant lrsquoorganisme avec des tiers sur les questions de traitements de donneacutees personnelles (partenaires et sous-traitants)

bull La communication officielle de la deacutesignation du DPO agrave lrsquoensemble du personnel afin que lrsquoexistence et la fonction de celui-ci soient connues au sein de lrsquoorganisme

bull Lrsquoaccegraves aux outils de communication interne dans lrsquoaccomplissement de ses missions afin de pouvoir sensibiliser et former aux exigences du RGPD (rappel des bonnes pratiques reacuteaction en cas drsquoemails frauduleux ou de violations de donneacutees etc)

bull Lrsquoaccegraves agrave drsquoautres services tels que les ressources humaines le service juridique le service informa-tique la seacutecuriteacute etc de maniegravere agrave ce que le DPO reccediloive les contributions et les informations essen-tielles de ces autres services

bull La formation continue Le DPO doit pouvoir maintenir ses connaissances agrave jour en ce qui concerne les eacutevolutions reacuteglementaires et techniques notamment dans le domaine de la protection des don-neacutees Afin drsquoaugmenter constamment le niveau drsquoexpertise du DPO ce dernier doit ecirctre encourageacute agrave participer agrave des formations ainsi qursquoagrave drsquoautres formes de deacuteveloppement professionnel telles que la participation agrave des forums sur la protection de la vie priveacutee des ateliers des associations profession-nelles etc

bull En fonction de la taille et de la structure de lrsquoorganisme il pourrait ecirctre opportun de constituer une eacutequipe autour du DPO dont les tacircches et responsabiliteacutes de chacun des membres doivent ecirctre claire-ment eacutetablies De mecircme lorsque la fonction du DPO est exerceacutee par un prestataire de services externe une eacutequipe de personnes travaillant pour le compte de cette entiteacute peut exercer les missions du DPO sous la responsabiliteacute drsquoune personne de contact principale deacutesigneacutee pour le client

30


Comment eacutevaluer les ressources agrave allouer au DPO La nature et le volume des ressources alloueacutees au DPO varient selon la taille la structure et lrsquoacti-viteacute de lrsquoorganisme Degraves lors plus les opeacuterations de traitement sont complexes ou susceptibles de porter atteinte agrave la vie priveacutee des personnes plus les ressources octroyeacutees au DPO devront ecirctre im-portantes Par exemple lrsquoanalyse de projets complexes par le DPO neacutecessite du temps pour deacutelivrer des conseils pertinents Lrsquoestimation de la charge de travail doit ecirctre proportionneacutee aux prioriteacutes eacutetablies Cette eacutevaluation est essentielle au bon exercice des missions du DPO au profit de lrsquoorga-nisme qui le deacutesigne

La dotation drsquoun budget speacutecifique peut faire partie des moyens mateacuteriels agrave la disposition du deacuteleacute-gueacute Pour quantifier ce budget diffeacuterents eacuteleacutements peuvent ecirctre pris en compte par exemple les besoins en termes de formation du futur DPO les eacuteventuelles actions de sensibilisation du person-nel de lrsquoorganisme le recours agrave des prestataires si neacutecessaire (avocats auditeurshellip) ou encore la contribution drsquoautres services au sein de lrsquoorganisme

Les courriers adresseacutes au DPO sont-ils confidentiels Si le DPO peut souhaiter que son courrier soit ouvert agrave des fins de tri il est eacutegalement en droit de de-mander la mise en place drsquoun canal de communication strictement confidentiel (courriers inscrits laquo confidentiels raquo qui ne seront pas ouverts emails chiffreacutes ligne teacuteleacutephonique confidentielle etc) en particulier agrave des fins de communication avec les personnes concerneacutees en relation de subordi-nation avec lrsquoorganisme

Comment garantir lrsquoaccegraves du DPO aux donneacutees de lrsquoorganisme Le DPO doit en raison de ses missions pouvoir acceacuteder aux systegravemes drsquoinformation de lrsquoorganisme agrave la documentation contractuelle ainsi qursquoaux informations traiteacutees Le responsable de traitement doit srsquoassurer que les services sous son autoriteacute facilitent cet accegraves agrave la demande du deacuteleacutegueacute En raison des enjeux en la matiegravere il est conseilleacute que le deacuteleacutegueacute et le responsable srsquoentendent sur un document formalisant les cas et les conditions dans lesquelles ces accegraves seront reacutealiseacutes (exemple audit veacuterification ponctuelle instruction drsquoune demande de droits violations de donneacutees etc)

Le DPO est soumis au secret professionnel ou agrave une obligation de confidentialiteacute et son accegraves aux donneacutees est soumis aux mecircmes principes geacuteneacuteraux que tous les salarieacutes il doit ecirctre proportionneacute justifieacute et traccedilable

Ces modaliteacutes pourront ecirctre preacutevues afin drsquoadapter au mieux les accegraves aux besoins du DPO (accegraves aux donneacutees en lecture eacutecriture accegraves temporaire possibiliteacutes drsquoextraction drsquoune base de don-neacutees etc) Dans certains cas speacutecifiques sensibles (exemple accegraves aux dossiers sur le poste drsquoun salarieacute agrave des courriels agrave des informations hautement confidentielles) des regravegles speacutecifiques pour-ront ecirctre preacutevues avec le DPO afin de garantir la reacutealisation de ses missions (exemple veacuterifications opeacutereacutees par un organisme tiers)

31

Cet accegraves doit comprendre les fichiers contenant des donneacutees personnelles ainsi que ceux supposeacutes ne pas en contenir (les manquements au RGPD en matiegravere de conservation et confidentialiteacute sont reacuteguliegraverement constateacutes par la CNIL au sein de fichiers que les organismes reacuteputaient exempts de donneacutees personnelles)

Lrsquoorganisme doit srsquoassurer que ces limites et accommodements nrsquoempecircchent pas la bonne reacutealisa-tion des missions du DPO

TEXTES OFFICIELS

Sur cnilfr bull Article 382 du RGPD sur lrsquoobligation de fournir des ressources au DPObull Article 391 du RGPD sur les missions du DPObull Article 25 du RGPD sur la protection des donneacutees par deacutefautbull Lignes directrices du CEPD relatives au deacuteleacutegueacute agrave la protection des donneacutees (p16)

32


Fiche 6 Quel est le statut du DPO Lrsquoindeacutependance du DPO dans lrsquoexercice de ses missions

Le RGPD preacutevoit certaines garanties destineacutees agrave faire en sorte que le deacuteleacutegueacute soit en mesure drsquoexer-cer ses missions avec un degreacute suffisant drsquoautonomie et drsquoindeacutependance vis-agrave-vis de lrsquoorganisme qui le deacutesigne

Cette indeacutependance signifie que le DPO

bull Ne doit pas recevoir drsquoinstruction dans lrsquoexercice de ses missions par exemple sur la maniegravere de traiter un sujet drsquoinstruire une reacuteclamation sur le reacutesultat agrave apporter agrave un audit interne ou encore sur lrsquoopportuniteacute de consulter lrsquoautoriteacute de controcircle De mecircme il ne peut ecirctre tenu drsquoadopter un certain point de vue sur une question lieacutee agrave la leacutegislation en matiegravere de protection des donneacutees telle qursquoune interpreacutetation particuliegravere du droit

bull Ne doit pas faire lrsquoobjet drsquoune sanction ou drsquoun licenciement du fait de lrsquoaccomplissement de ses missions par exemple si le deacuteleacutegueacute conseille au responsable de traitement drsquoeffectuer une ana-lyse drsquoimpact et que celui-ci nrsquoest pas drsquoaccord ou consigne une analyse juridique ou technique en contradiction avec celle retenue par le responsable de traitement Agrave noter toutefois qursquoil peut ecirctre mis fin aux fonctions du deacuteleacutegueacute pour des raisons relevant de la leacutegislation du travail habituelle (tel que vol harcegravelement autre faute grave)

bull Fait directement rapport aux eacutechelons les plus eacuteleveacutes de la direction de lrsquoorganisme afin que le ni-veau auquel les deacutecisions sont prises ait connaissance des avis et recommandations du DPO Ainsi la CNIL recommande que le deacuteleacutegueacute eacutelabore et preacutesente au niveau le plus eacuteleveacute de lrsquoorganisme un rapport reacutegulier (par exemple annuel) sur ses activiteacutes Le DPO doit eacutegalement ecirctre en capaciteacute de srsquoadresser directement au niveau le plus eacuteleveacute sur une probleacutematique speacutecifique srsquoil lrsquoestime neacutecessaire5 Agrave noter que cette exigence de faire rapport au niveau le plus eacuteleveacute ne preacutejuge pas du laquo rattachement raquo du deacuteleacutegueacute pour lequel le RGPD ne comporte pas drsquoexigence

Absence de responsabiliteacute du DPO en cas de non-respect du RGPD

Le RGPD preacutevoit que crsquoest le responsable du traitement qui est tenu de srsquoassurer et drsquoecirctre en mesure de deacutemontrer que le traitement est effectueacute conformeacutement au RGPD De la mecircme maniegravere crsquoest le sous-traitant qui est responsable du respect de ses obligations propres preacutevues par le RGPD Degraves lors le deacuteleacutegueacute nrsquoest pas responsable en cas de non-respect du RGPD au sein de lrsquoorganisme qui lrsquoa deacutesigneacute

Il nrsquoest donc pas possible de transfeacuterer au DPO par deacuteleacutegation de pouvoir la responsabiliteacute incom-bant au responsable de traitement ou les obligations propres du sous-traitant deacutecoulant du RGPD En effet cela reviendrait agrave confeacuterer au DPO un pouvoir deacutecisionnel sur la finaliteacute et les moyens du traitement ce qui serait constitutif drsquoun conflit drsquointeacuterecircts contraire au RGPD

5 Agrave ce sujet la Commission Nationale de la Protection des Donneacutees du Luxembourg a estimeacute dans sa deacutecision ndeg23FR2021 du 29 juin 2021 qursquoun rattachement hieacuterarchique direct ou la possibiliteacute de contourner les niveaux hieacuterarchiques intermeacutediaires pouvaient ecirctre des mesures proportionneacutees pour garantir lrsquoautono-mie du DPO

33

Obligation de confidentialiteacutesecret professionnel

Le deacuteleacutegueacute doit ecirctre soumis au secret professionnel ou agrave une obligation de confidentialiteacute en ce qui concerne lrsquoexercice de ses missions Il convient donc de veiller agrave inseacuterer une telle obligation dans le contrat de travail ou la lettre de mission du deacuteleacutegueacute interne ou dans le contrat de service du deacuteleacutegueacute externe

Agrave noter cette obligation de secret professionnel ou de confidentialiteacute nrsquointerdit pas au DPO de prendre contact avec lrsquoautoriteacute de controcircle pour solliciter son avis En effet le RGPD preacutevoit que le DPO peut mener des consultations aupregraves de lrsquoautoriteacute de controcircle sur tout sujet


Le DPO peut-il ecirctre sanctionneacute peacutenalement dans lrsquoexercice de ses missions Le DPO nrsquoest pas peacutenalement responsable de la conformiteacute de son organisme Il peut cependant comme nrsquoimporte quel autre employeacute ou agent voir sa responsabiliteacute peacutenale engageacutee srsquoil enfreint intentionnellement les dispositions peacutenales de la loi Informatique et Liberteacutes ou en tant que com-plice srsquoil aide le responsable du traitement ou le sous-traitant agrave enfreindre ces dispositions peacutenales

Le DPO peut-il ecirctre sanctionneacute civilement dans lrsquoexercice de ses missions Lrsquohypothegravese de la mise en jeu de la responsabiliteacute civile du DPO pour lrsquoexercice de ses missions ne peut pas concerner le DPO salarieacute en application du principe de la responsabiliteacute de lrsquoemployeur du fait de ses preacuteposeacutes lrsquoaction civile initieacutee par une personne concerneacutee par le traitement de donneacutees en cause ne pourrait ecirctre engageacutee que contre le responsable de traitement En revanche concernant le DPO externe si ce dernier devait commettre une faute professionnelle conduisant le responsable de traitement agrave subir un preacutejudice ce dernier pourrait rechercher la responsabiliteacute du DPO externe et obtenir des dommages et inteacuterecircts Crsquoest pourquoi certaines assurances proposent une assurance responsabiliteacute civile professionnelle pour les DPO

Le DPO peut-il ecirctre licencieacute ou releveacute de ses fonctions Le deacuteleacutegueacute beacuteneacuteficie drsquoun statut speacutecifique drsquoindeacutependance (voir fiche ndeg 6) Il ne peut pas ecirctre laquo re-leveacute de ses fonctions ou peacutenaliseacute par le responsable du traitement ou le sous-traitant pour lrsquoexercice de ses missions raquo (art 383 du RGPD) Cette disposition signifie qursquoun DPO ne peut ecirctre inquieacuteteacute pour des analyses ou remarques fondeacutees en matiegravere de protection des donneacutees qursquoil adresserait aux opeacuterations de traitement de son employeur Ainsi au-delagrave du risque prudrsquohomal le licenciement abusif drsquoun DPO constituerait une infraction au RGPD

Toutefois le DPO nrsquoest pas un salarieacute proteacutegeacute au sens juridique et ne dispose pas drsquoune proceacutedure deacutedieacutee de licenciement preacutevue par le code du travail

Il peut comme tout autre salarieacute ou agent ecirctre licencieacute pour des motifs autres que lrsquoexercice de ses missions de deacuteleacutegueacute par exemple en cas de vol de harcegravelement moral ou drsquoautres fautes graves similaires

Enfin lrsquoorganisme qui deacutesigne un DPO doit srsquoassurer que ce dernier deacutetient les qualifications et les capaciteacutes lui permettant drsquoaccomplir ses missions Il peut degraves lors deacutecider de retirer les missions de DPO agrave un salarieacute nrsquoeacutetant pas agrave mecircme de remplir les missions qui lui sont attribueacutees par le RGPD

34

Cette proceacutedure nrsquoest possible que si lrsquoemployeur srsquoest assureacute que la difficulteacute du DPO agrave assurer ses missions ne vient pas drsquoune insuffisance des moyens ndash notamment temporels ndash qui lui sont accordeacutes Elle doit ecirctre documenteacutee et reacutealiseacutee selon les conditions fixeacutees dans le contrat ou par son statut

Quant au DPO externe il peut eacutegalement ecirctre mis fin agrave son contrat de prestataire conformeacutement au droit des contrats ou de la commande publique et selon les conditions qui y sont fixeacutees

Le DPO doit-il ecirctre rattacheacute agrave une direction particuliegravere Le RGPD ne preacutecise pas le niveau de laquo rattachement raquo du deacuteleacutegueacute qui peut donc deacutependre de la di-rection des systegravemes drsquoinformation (DSI) de la direction des risques de la conformiteacute de la direction juridique ou encore du secreacutetariat geacuteneacuteral de lrsquoorganisme Quelle que soit la direction agrave laquelle il est rattacheacute il importe que le DPO soit en mesure de faire directement rapport au niveau le plus eacuteleveacute de la direction de lrsquoorganisme afin que ses conseils soient connus et pris en compte

Le DPO peut-il recevoir des consignes (telles que laquo reacutealiser un audit chaque anneacutee raquo) ou avoir des objectifs Le DPO ne peut pas recevoir drsquoinstructions sur la maniegravere opeacuterationnelle de deacutecliner ses missions

Ainsi par exemple un organisme ne peut interdire au DPO de contacter la CNIL pour avoir un conseil lrsquoobliger agrave approuver un document ni deacutenaturer ou repousser sans cesse la communication qursquoun DPO souhaiterait adresser aux employeacutes ou agents de lrsquoorganisme Sur ce sujet la CNIL est deacutejagrave intervenue aupregraves drsquoorganismes pour leur rappeler leurs obligations

Il est possible de lui adresser des demandes (comme la production drsquoun rapport annuel la reacutedac-tion drsquoun audit etc) degraves lors que celles-ci ne lrsquoempecircchent pas drsquoavoir les ressources neacutecessaires notamment en termes de disponibiliteacute pour mener agrave bien les autres missions que le DPO estimerait prioritaires Ces missions pourraient alors ecirctre preacutevues dans la lettre de mission

Il peut eacutegalement avoir des objectifs eacutevaluables assortis de moyens suffisants pour les mener agrave bien degraves lors que ceux-ci sont eacutetablis en coheacuterence avec les actions qursquoil a lui-mecircme identifieacutees comme prioritaires notamment dans le cadre de la sensibilisation des eacutequipes internes

Lrsquoindeacutependance du DPO ne doit pas en effet ecirctre comprise comme la possibiliteacute pour le DPO de travailler de faccedilon opaque sans communication avec la direction ou les autres services sur les eacuteleacute-ments qursquoil a identifieacutes comme prioritaires ou sur les mesures qursquoil compte mettre en place Crsquoest dans la liberteacute opeacuterationnelle de deacutefinir ces prioriteacutes et ces mesures que lrsquoindeacutependance se traduit elle ne signifie pas lrsquoabsence de liens mais lrsquoabsence de consignes qui auraient valeur drsquoordre ou drsquoinjonction dans la relation salarieacutee ou hieacuterarchique

Enfin le DPO peut recevoir des consignes sur des eacuteleacutements qui ne relegravevent pas de lrsquoexeacutecution de ses missions comme une obligation de faire valider ses congeacutes dans un outil interne

Des documents produits par le DPO peuvent-ils ecirctre laquo valideacutes raquo ou modifieacutes En indiquant que le DPO ne reccediloit aucune instruction concernant lrsquoexercice de ses missions et qursquoil doit ecirctre capable de faire directement rapport au niveau le plus eacuteleveacute de la direction le RGPD met le DPO en capaciteacute de produire tout document (eacuteleacutement de formation rapport expertise etc) sans interfeacuterence en particulier sur le fond

35

Il peut cependant deacutecider de lui-mecircme de soumettre un travail preacuteparatoire agrave sa hieacuterarchie ou drsquoautres services pour recevoir des commentaires ou des remarques qursquoil peut choisir de prendre en compte ou non

TEXTES OFFICIELS

Sur cnilfr bull Article 382 et 383 du RGPD sur la fonction de DPO bull Articles 226-26 agrave 226-24 du code peacutenal

36


Fiche 7 Que faire en cas de deacutepart de congeacutes ou de remplacement du DPO Le deacuteleacutegueacute joue un rocircle central dans la protection des donneacutees de lrsquoorganisme et fait office de point de contact pour les personnes ainsi que pour lrsquoautoriteacute de controcircle avec laquelle il doit coopeacuterer Par conseacutequent le deacutepart ou le remplacement drsquoun DPO qursquoil soit deacutefinitif ou temporaire doit ecirctre anticipeacute et organiseacute par le responsable de traitement le plus en amont possible

La transition en interne

Communiquer en interne de la mecircme maniegravere que lors de sa deacutesignation le deacutepart et le remplace-ment du DPO neacutecessitent drsquoecirctre relayeacutes en interne par tous moyens (exemple note interne publieacutee sur lrsquointranet information des instances repreacutesentatives du personnel etc)

En cas de remplacement cette information permettra de communiquer le nom et les coordonneacutees du nouveau DPO

Assurer le suivi des dossiers en cours il est essentiel de mettre agrave jour les proceacutedures permettant drsquoassurer le suivi et la reprise des dossiers en cours (exemple suivi drsquoune demande drsquoexercice de droit reacutealisation drsquoune AIPD en cours etc)

La transparence vis-agrave-vis des personnes concerneacutees

En cas de deacutepart ou de remplacement lrsquoorganisme doit srsquoassurer que les mentions drsquoinformation qui doivent comporter les coordonneacutees du DPO sont agrave jour

Agrave noter pour eacuteviter cette mise agrave jour systeacutematique des mentions drsquoinformation privileacutegiez des coor-donneacutees laquo neutres raquo (exemple adresse email geacuteneacuterique numeacutero de teacuteleacutephone adresse postale etc)

Les deacutemarches aupregraves de lrsquoautoriteacute de controcircle

En cas de changement deacutefinitifLe responsable de traitement ou le sous-traitant doit dans les meilleurs deacutelais informer la CNIL de la fin de mission de son DPO De faccedilon opeacuterationnelle pour traiter une fin de mission il est deman-deacute de mettre le repreacutesentant leacutegal en copie du courriel informant la CNIL de la fin de mission (voir adresse dans le courriel de confirmation de la deacutesignation)

Si le DPO est remplaceacute lrsquoorganisme doit dans les mecircmes deacutelais proceacuteder agrave la deacutesignation du nou-veau DPO (voir fiche ndeg 4)

37

En cas drsquoabsence temporairebull Si le DPO absent est officiellement remplaceacute par un autre DPO le temps de son absence une

nouvelle deacutesignation est alors requise aupregraves de la CNIL (en informant dans le mecircme temps de la fin de mission du DPO absent)

bull si le DPO nrsquoest pas remplaceacute il est neacutecessaire de preacutevoir une mise agrave jour des proceacutedures internes (exemple routage du courrier et des appels) garantissant que les demandes des personnes concerneacutees ou de lrsquoautoriteacute de controcircle soient traiteacutees Dans les cas ougrave la nomination du deacuteleacutegueacute est obligatoire pour lrsquoorganisme cette vacance ne peut ecirctre qursquoexceptionnelle et tregraves limiteacutee dans le temps

Agrave noter lorsque la CNIL prend contact avec un organisme elle srsquoadresse au DPO officiellement deacutesigneacute aupregraves de ses services indeacutependamment des reacuteorganisations internes mises en place Il est donc important de geacuterer lrsquoorientation des appels et courriers vers les personnes compeacutetentes le temps drsquoune deacutesignation peacuterenne


Un DPO peut-il demander la fin de sa mission tout en restant dans lrsquoorganisme La CNIL recommande de preacutevoir lors de la prise de fonction dans la lettre de mission ou dans le contrat les conditions et modaliteacutes de la fin de mission demandeacutee par le salarieacute DPO Cela permet aux deux parties de confirmer que le DPO ne sera pas peacutenaliseacute ou freineacute par sa mission dans le deacuteroulement de sa carriegravere et qursquoil peut beacuteneacuteficier des mecircmes opportuniteacutes de promotions ou de mobiliteacute interne que ses collegravegues

TEXTES OFFICIELS

Sur cnilfr bull Article 391 du RGPD (missions du DPO)bull Article 383 du RGPD (indeacutependance du DPO)bull Articles 83 du deacutecret drsquoapplication de la loi Informatique et Liberteacutes (modaliteacutes de deacutesignation du DPO

aupregraves de la CNIL)

38


La CNIL accompagne les DPO en mettant agrave leur disposition diffeacuterents outils que lrsquoon peut classer dans les deux cateacutegories suivantes

Les outils pour se formerbull Le site wwwcnilfr constamment alimenteacute il contient de nombreuses informations classeacutees

notamment par deacutemarches theacutematiques technologies ou textes officiels Les publications reacutegu-liegraveres de communiqueacutes et drsquoactualiteacutes assurent une actualisation des connaissances Un moteur de recherche ainsi qursquoun outil laquo besoin drsquoaide raquo permettent eacutegalement de reacutepondre aux demandes cibleacutees

bull Les ateliers ou webinaires ils sont accessibles agrave tous les professionnels de la protection des don-neacutees sous reacuteserve drsquoinscription preacutealable via le site web de la CNIL Ils se concentrent sur une theacutematique (marketing ressources humaines recherche dans le domaine de la santeacute etc) qursquoils examinent en profondeur meacutenageant eacutegalement un temps pour les questions

bull Une formation en ligne (MOOC) portant sur les fondamentaux de la protection des donneacutees laquo LrsquoAtelier RGPD raquo ouvert agrave tous et gratuit a eacuteteacute publieacute en mars 2019 Face au succegraves rencontreacute (plus de 100 000 comptes creacuteeacutes agrave fin 2020) cet outil sera prochainement traduit en anglais et enrichi de modules theacutematiques speacutecifiques agrave commencer par un module agrave destination des col-lectiviteacutes territoriales

Les outils pour trouver une reacuteponsebull Une permanence teacuteleacutephonique les agents du service des DPO assurent une permanence les lun-

dis mardis jeudis et vendredis de 10h agrave 12h au 01 53 73 22 22 (touche 3) reacuteserveacutee aux deacuteleacutegueacutes deacutesigneacutes

bull Une adresse eacutelectronique deacutedieacutee lrsquoadresse du service des DPO (figurant dans le message eacutelectro-nique confirmant la deacutesignation) permet drsquoobtenir une reacuteponse eacutecrite aux demandes de conseil pour lesquelles le deacuteleacutegueacute nrsquoa pas trouveacute les eacuteleacutements souhaiteacutes sur le site de la CNIL ou qui nrsquoauraient pas deacutejagrave eacuteteacute traiteacutees par un reacuteseau de professionnels de son secteur

Vous ecirctes particuliegraverement nombreux agrave nous solliciter par email ou par teacuteleacutephone il est donc indispensable de consulter notre site web et de mener votre propre analyse avant de nous contacter En accord avec la charte drsquoaccompagnement de la CNIL le service DPO reacutepondra en prioriteacute aux questions dont la reacuteponse ne se trouve pas sur cnilfr

bull Les reacuteseaux professionnels de DPO ce sont de bonnes sources de reacuteponse aux questions laquo ter-rain raquo Organiseacutes par secteurs et par reacutegions ils peuvent apporter un retour drsquoexpeacuterience ou de preacutecieux conseils Dans le cadre de sa strateacutegie de dialogue prioritaire avec les laquo tecirctes de reacuteseau raquo ces reacuteseaux professionnels sont des interlocuteurs privileacutegieacutes de la CNIL

39

Les outils drsquoaide agrave la mise en conformiteacute bull Un modegravele de registre simplifieacute les DPO sont le plus souvent au cœur de la reacutealisation de cet

outil agrave la fois obligatoire et essentiel pour le pilotage de la conformiteacute (voir laquo Le DPO et la docu-mentation raquo) La CNIL propose un modegravele de registre reacuteutilisable en format ouvert comprenant une fiche tutorielle une fiche de liste de traitements un modegravele de fiche agrave remplir et une fiche drsquoexemple Elle a eacutegalement publieacute son propre registre utilisable comme exemple concret pour comprendre les enjeux et une maniegravere possible drsquoutiliser cet outil

bull Pour la reacutealisation drsquoanalyse drsquoimpact relative agrave la protection des donneacutees la CNIL propose un ou-til PIA precirct agrave lrsquoemploi permettant de piloter une AIPD de A agrave Z Elle a eacutegalement publieacute des guides pour accompagner les responsables de traitements et les DPO dans cette obligation ainsi que des listes de traitements pour lesquels les AIPD sont obligatoires ou au contraire non requises

bull La CNIL publie de nombreux documents rappelant le droit en vigueur syntheacutetisant sa doctrine ou apportant de bonnes pratiques En se rendant reacuteguliegraverement sur son site le DPO peut prendre connaissance des packs de conformiteacutes des reacutefeacuterentiels des lignes directrices etc

bull Enfin eacutetant au centre de la mise en conformiteacute avec le RGPD le DPO peut trouver un inteacuterecirct dans tous les outils publieacutes par la CNIL pour dialoguer efficacement avec ses collegravegues (par exemple avec le laquo Guide RGPD du deacuteveloppeur raquo) ou pour mieux comprendre les obligations incombant agrave son organisme (comme le laquo Guide pratique sur les dureacutees de conservation raquo peut le permettre)

FOCUS laquo DPO PAR OUgrave COMMENCER raquo

Vous venez drsquoecirctre deacutesigneacute deacuteleacutegueacute agrave la protection des donneacutees quelles devront ecirctre vos premiegraveres actions Comment prioriser les diffeacuterents projets

La page laquo DPO par ougrave commencer raquo du site web de la CNIL vous propose un plan de travail permettant de proceacuteder avec meacutethode pour aider les organismes agrave remplir leurs obligations en proposant notam-ment un plan drsquoaccompagnement qui permet de cartographier les traitements et prioriser les actions les plus urgentes

40

Je recherche un DPO pour mon organisme comment faire Le choix drsquoun DPO peut ecirctre reacutealiseacute au sein des effectifs de votre organisme ou en faisant appel agrave un prestataire proposant ses services de DPO (le cas eacutecheacuteant cette personne est eacutegalement DPO drsquoautres organismes on parle alors de DPO mutualiseacute)

Lrsquoorganisme recrutant la personne doit srsquoassurer que celle-ci dispose de connaissances speacute-cialiseacutees du droit et des pratiques en matiegravere de protection des donneacutees Il doit ainsi prendre en compte les formations longues ou courtes suivies par la personne pressentie mais eacutega-lement son expeacuterience et sa connaissance du secteur Des formations diplocircmantes en pro-tection des donneacutees existent mais elles ne sont ni obligatoires ni le seul moyen de devenir DPO ou drsquoecirctre formeacute sur ces sujets

Par ailleurs afin drsquoaccompagner les organismes dans lrsquoidentification du profil adapteacute la CNIL a mis en place une proceacutedure de certification des compeacutetences du DPO sur la base drsquoun reacutefeacuterentiel eacutelaboreacute par la CNIL Les certifications sont deacutelivreacutees par des organismes certificateurs agreacuteeacutes par la CNIL La liste de ces organismes est disponible sur notre site web

Pour veacuterifier qursquoun DPO est veacuteritablement certifieacute un recruteur peut contacter lrsquoorganisme de certification ayant attribueacute la certification La CNIL ne deacutetient pas de liste des DPO certi-fieacutes mais publie une liste des organismes de certification agreacuteeacute

Qursquoapporte la deacutesignation drsquoun DPO si mon organisme a deacutejagrave un service juridique compeacutetent en matiegravere de protection des donneacutees Si un organisme rencontre des probleacutematiques relatives agrave la protection des donneacutees personnelles la CNIL recommande la deacutesignation drsquoun DPO mecircme lorsque celle-ci nrsquoest pas obligatoire

En effet une eacutequipe juridique mecircme compeacutetente ne peut se substituer aux avantages qursquoapportent la deacutesignation drsquoun DPO

bull il srsquoagit drsquoun point de contact facilement trouvable et joignable en interne comme en externe

bull il allie des connaissances juridiques et de seacutecuriteacute informatique

bull son indeacutependance deacutefinie par un texte leacutegal assure son impartialiteacute et la liberteacute de ses recom-mandations

bull il peut beacuteneacuteficier de soutien et drsquoune assistance de la CNIL

FOIR

E A

UX

QU

ESTI

ON

S

41

Ougrave le DPO doit-il ecirctre localiseacute Le RGPD ne fixe pas drsquoexigence relative agrave la localisation du DPO Cependant le deacuteleacutegueacute doit ecirctre facilement joignable par les personnes concerneacutees et les autoriteacutes de controcircle compeacutetentes Il est ainsi recommandeacute que le DPO se trouve dans lrsquoUnion europeacuteenne que le responsable du traitement ou le sous-traitant soit ou non eacutetabli dans lrsquoUnion europeacuteenne

Si lrsquoorganisme ne possegravede pas drsquoeacutetablissement dans lrsquoUnion europeacuteenne le deacuteleacutegueacute peut ecirctre eacutetabli hors Union europeacuteenne sous reacuteserve qursquoil puisse efficacement mener ses activiteacutes

Quelle langue doit parler le DPO Le deacuteleacutegueacute doit ecirctre en mesure de communiquer efficacement avec les personnes concerneacutees et de coopeacuterer avec les autoriteacutes de controcircle compeacutetentes Cela signifie que ces eacutechanges devront se faire dans la ou les langues utiliseacutees par les personnes concerneacutees et les autoriteacutes de controcircle

Pour reacutepondre agrave cette exigence le deacuteleacutegueacute peut par exemple se faire aider drsquoune eacutequipe de relais locaux qui seront en capaciteacute de reacutepondre dans la langue des personnes concerneacutees

Des socieacuteteacutes opegraverent du deacutemarchage aupregraves des professionnels (entreprises administrations associations) parfois de maniegravere agressive afin de vendre un service drsquoassistance agrave la mise en conformiteacute au RGPD

Pour rappel la CNIL ne fait jamais payer de service de mise en conformiteacute au RGPD Elle ne demande jamais le regraveglement immeacutediat drsquoune somme drsquoargent dans le cadre drsquoun controcircle

La CNIL et la direction geacuteneacuterale de la concurrence de la consommation et de la reacutepression des fraudes (DGCCRF) ont publieacute un communiqueacute pour aider les professionnels agrave se preacutemunir contre ces pratiques abusives

42

Le titre de laquo deacuteleacutegueacute agrave la protection des donneacutees ndash DPO ndash DPD raquo est-il reacuteserveacute aux personnes deacutesigneacutees aupregraves de la CNIL Oui ce titre ne peut ecirctre utiliseacute que par les personnes qui sont DPO au sens du RGPD et en particu-lier deacutesigneacutees aupregraves de la CNIL La personne deacutesigneacutee a le droit drsquoutiliser le logo laquo DPO raquo (marque proteacutegeacutee par la CNIL) dans lrsquoexercice de ses fonctions

Les responsables de traitement en dehors des cas de deacutesignation obligatoire qui ne souhaitent pas deacutesigner un deacuteleacutegueacute agrave la protection des donneacutees (DPO) sur la base du volontariat peuvent employer une personne ou des consultants exteacuterieurs chargeacutes des missions lieacutees agrave la protection des donneacutees personnelles

Dans ce cas il importe de veiller agrave ce qursquoil nrsquoy ait pas de confusion quant agrave son titre son statut ses fonctions et ses missions Aussi il convient drsquoindiquer clairement dans toute communication au sein de lrsquoentreprise ainsi qursquoavec les autoriteacutes chargeacutees de la protection des donneacutees les personnes concerneacutees et le public (au sens large) que cette personne ou ce consultant ne porte pas le titre de deacuteleacutegueacute agrave la protection des donneacutees

Pourquoi la CNIL utilise-t-elle lrsquoabreacuteviation laquo DPO raquo plutocirct que laquo DPD raquo La CNIL utilise toujours le nom de laquo deacuteleacutegueacute agrave la protection des donneacutees raquo la mention laquo DPO raquo nrsquoin-tervenant qursquoagrave titre accessoire pour abreacuteviation

Lrsquoabreacuteviation des mots laquo data protection officer raquo deacutesignant la fonction de deacuteleacutegueacute dans la version en anglais du RGPD apparait toutefois neacutecessaire agrave lrsquoaccessibiliteacute de ses productions afin de tenir compte de lrsquousage tregraves reacutepandu de cette abreacuteviation dans les meacutetiers du numeacuterique et au sein du grand public

Lrsquoemploi de lrsquoabreacuteviation laquo DPO raquo permet ainsi agrave la CNIL ndash conformeacutement agrave lrsquoune de ses missions ndash de toucher une large audience utilisant cette abreacuteviation pour rechercher en ligne des publications relatives agrave la fonction de deacuteleacutegueacute agrave la protection des donneacutees

Toutefois il nrsquoexiste aucune restriction agrave utiliser lrsquoabreacuteviation DPD

Comment un DPO peut-il se former Pour acqueacuterir les compeacutetences et connaissances neacutecessaires agrave lrsquoexercice du meacutetier de DPO le deacuteleacute-gueacute peut notamment srsquoappuyer sur lrsquoensemble des ressources disponibles sur le site web de la CNIL

43

La CNIL propose eacutegalement des journeacutees de preacutesentation du RGPD et des ateliers drsquoinformation theacutematiques (seacutecuriteacute santeacute AIPD etc) parfois deacutelivreacutes sous forme de webinaires Pour consulter les dates de ces eacuteveacutenements et srsquoy inscrire un agenda est mis agrave disposition sur le site web de la CNIL

En mars 2019 la CNIL a lanceacute son MOOC laquo LrsquoAtelier RGPD raquo gratuit et agrave destination de tous les publics mais suffisamment riche pour inteacuteresser les DPO en formation Celui-ci sera bientocirct traduit en anglais et enrichi de nouveaux modules theacutematiques

Le DPO peut eacutegalement srsquoorienter vers des formations longues proposeacutees par des universiteacutes ou des eacutecoles (voir entre autres la liste des formations DPO reacutealiseacutee par lrsquoAFCDP6 et la page deacutedieacutee sur le site de SupDPO7)

Selon lrsquoeacutetude sur les DPO reacutealiseacutee par lrsquoAFPA8 les principaux contenus theacutematiques sur lesquels les DPO souhaitent pouvoir ecirctre formeacutes sont des eacuteleacutements de seacutecuriteacute informatique (chiffrement authentification forte traccedilabiliteacute etc) la reacutealisation des premiegraveres analyses drsquoimpact et la connais-sance des systegravemes drsquoinformation (base de donneacutees cloud cookies API etc)

6 Association franccedilaise des correspondants agrave la protection des donneacutees agrave caractegravere personnel7 Association des DPO de lrsquoEnseignement supeacuterieur de la recherche et de lrsquoinnovation8 laquo Deacuteleacutegueacute agrave la protection des donneacutees (DPO) un meacutetier qui se deacuteveloppe une fonction qui se structure raquo eacutetude reacutealiseacutee par la direction prospective meacutetier de lrsquoAFPA agrave la demande du ministegravere du Travail de lrsquoEmploi et de lrsquoInclusion (DGEFP) en partenariat avec la CNIL et lrsquoAFCDP (2020)

44


La personne pressentie connaicirct-elle les enjeux et a-t-elle un inteacuterecirct pour la protection des donneacutees et les missions drsquoun DPO

Avez-vous veacuterifieacute que la qualiteacute ou les missions preacuteexistantes de la personne pressentie nrsquoengendre pas un conflit drsquointeacuterecircts

La personne dispose-t-elle du niveau de connaissances (expertise juridique et technique en matiegravere de protection des donneacutees connaissances des pratiques de lrsquoorganisme et du secteur drsquoactiviteacute etc) et des compeacutetences neacutecessaires (aptitude agrave savoir communiquer etc)

Si cela est neacutecessaire un plan de formation est-il programmeacute agrave cet effet

Avez-vous eacutetabli une documentation permettant de justifier le choix de votre DPO (exemple CV eacuteventuelle certification etc)

Est-il preacutevu de communiquer en interne (salarieacutes IRP etc) sur la deacutesignation du DPO

Les missions et conditions drsquoexercice des missions du deacuteleacutegueacute sont-elles formaliseacutees dans une lettre de mission ou un contrat de prestation de service

Des garanties sont-elles preacutevues pour assurer lrsquoindeacutependance du DPO (ne pas ecirctre sanc-tionneacute pour lrsquoexercice de ses missions de DPO ne pas recevoir drsquoinstruction dans le cadre de lrsquoexercice de ses missions de DPO)

Une organisation est-elle mise en place pour permettre au DPO de faire directement rapport au niveau le plus eacuteleveacute de lrsquoorganisme

Une eacutevaluation de la charge de travail du DPO et de ses besoins mateacuteriels (infrastructure personnel suppleacutementaire etc) a-t-elle eacuteteacute meneacutee

Lrsquoaccegraves aux donneacutees et aux opeacuterations de traitement sera-t-il faciliteacute Le DPO pourra-t-il acceacuteder aux informations utiles

Des moyens de contact permettant aux personnes concerneacutees de joindre facilement le DPO ont-ils eacuteteacute mis en place (adresse email deacutedieacutee ligne teacuteleacutephonique etc)

Le peacuterimegravetre des missions du DPO est-il deacutefini (exemple tenue du registre reacutedaction des clauses de sous-traitance etc)

Avez-vous deacutefini une gouvernance (niveau de mutualisation adeacutequat mise en place de relais ou reacutefeacuterents formalisation des missions de ces relais etc)

AN

NEX

ES

45

Annexe ndeg 2 Modegravele de lettre de mission remise par lrsquoorganisme au DPO lors de sa prise de fonction

ATTENTION

Ce document est un modegravele geacuteneacuterique de lettre de mission qursquoun organisme est susceptible de remettre agrave son DPO Il doit ecirctre adapteacute aux speacutecificiteacutes du contexte (nature juridique de lrsquoorganisme type drsquoactiviteacute profil et positionnement du DPO) dans les limites du rocircle et des missions du DPO deacutefinis par le RGPD

[Nom de lrsquoorganisme] a deacutesigneacute aupregraves de la CNIL le [date] Mme M [Preacutenom Nom fonction le cas eacutecheacuteant] en tant que Deacuteleacutegueacute agrave la protection des donneacutees (DPO) tel que deacutefinit aux articles 37 et suivants du regraveglement (UE) 2016679 du 27 avril 2016 sur la protection des donneacutees (RGPD) Un reacutecepisseacute de cette deacutesignation a eacuteteacute transmis par la CNIL le [date]

Agrave ce titre MmeM [Preacutenom nom du DPO] est en charge de veiller au respect des principes et des obligations en vigueur pour tous les traitements de donneacutees personnelles mis en œuvre par [Nom de lrsquoorganisme] ou pour son compte Il tient compte dans lrsquoexercice de sa mission du risque associeacute aux opeacuterations de traitement compte tenu de la nature de la porteacutee du contexte et des finaliteacutes des traitements

Dans le cadre de ses fonctions de DPO MmeM [preacutenom nom du DPO] fait directement rapport agrave [instance de direction de lrsquoorganismeautoriteacute] Il a accegraves aux donneacutees personnelles et aux traite-ments mis en œuvre par [Nom de lrsquoorganisme] ou pour son compte Il ne reccediloit aucune instruction en ce qui concerne lrsquoexercice de ses missions ni ne peut ecirctre peacutenaliseacute dans sa carriegravere en raison de celles-ci

Drsquoautres missions et tacircches ne peuvent ecirctre attribueacutees agrave MmeM [Preacutenom nom du DPO] que dans la mesure ougrave elles ne sont pas susceptibles de creacuteer des situations de conflit drsquointeacuterecircts ou le prive des ressources neacutecessaires pour exercer sa mission de DPO

MmeM [Preacutenom nom du DPO] est soumis agrave une obligation de [secret professionnel confidentiali-teacute] Cette obligation ne doit cependant pas lrsquoempecirccher de demander conseil dans lrsquoexercice de ses missions aupregraves de toute autoriteacute ou personne compeacutetente

Chargeacute de veiller agrave la conformiteacute des opeacuterations de traitements de donneacutees personnelles aux dis-positions relatives agrave la protection des donneacutees personnelles le DPO a notamment pour mission

bull drsquoinformer et de conseiller le responsable de traitement ou le sous-traitant ainsi que les employeacutes

bull de controcircler le respect du preacutesent regraveglement et des dispositions en matiegravere de protection des donneacutees

bull de dispenser des conseils sur demande en ce qui concerne lrsquoanalyse drsquoimpact relative agrave la protec-tion des donneacutees et veacuterifier lrsquoexeacutecution de celle-ci

46

bull de coopeacuterer avec lrsquoautoriteacute de controcircle

bull de faire office de point de contact sur les questions relatives au traitement des donneacutees person-nelles

[Dans la mesure ougrave cela ne fait pas obstacle agrave la reacutealisation des missions preacuteciteacutees le DPO est char-geacute des missions suppleacutementaires suivantes avec lrsquoaide des services concerneacutes

bull tenir agrave jour le registre des activiteacutes de traitement effectueacutees par [Nom de lrsquoorganisme] ou pour son compte par un sous-traitant

bull participer agrave la reacutealisation des analyses drsquoimpact

bull participer agrave la reacutealisation des notifications de violation de donneacutees personnelles

bull remettre chaque anneacutee au responsable de traitement un rapport mensuelbiannuelannuel des activiteacutes reacutealiseacutees]

Afin de permettre lrsquoaccomplissement de ces missions [nom de lrsquoorganisme] srsquoengage agrave ce que le DPO dispose des moyens adeacutequats et suffisants Dans le cadre de lrsquoexercice de ses fonctions de DPO MmeM [preacutenom nom du DPO] doit

bull acceacuteder agrave lrsquoensemble des informations sur les projets ayant un impact sur les modaliteacutes de traite-ment des donneacutees personnelles degraves leur origine (preacutesence aux reacuteunions transversales et meacutetiers etc)

bull acceacuteder au niveau le plus eacuteleveacute de la direction du responsable du traitement

bull acceacuteder agrave lrsquointeacutegraliteacute des systegravemes drsquoinformation donnant lieu aux traitements de donneacutees per-sonnelles par lrsquoorganisme

bull beacuteneacuteficier de formations reacuteguliegraveres lui permettant drsquoentretenir ses connaissances speacutecialiseacutees dans le domaine de la protection des donneacutees

bull [disposer de moyens permettant de couvrir les besoins mateacuteriels et humains neacutecessaires agrave lrsquoac-complissement de ses missions]

Une copie de cette lettre de mission sera diffuseacutee agrave [lrsquoensemble du personnel etou des instances repreacutesentatives du personnel etou des organes deacutecisionnaires de la structure]

[La confirmation de llsquoacceptation de cette lettre de mission devra ecirctre effectueacutee par courrier ac-compagneacute drsquoun exemplaire signeacute de la preacutesente lettre]

Signature du repreacutesentant leacutegal de lrsquoorganisme Signature du DPOemsp

47

Annexe ndeg 3 Le formulaire de deacutesignation du DPO Le formulaire de deacutesignation comprend 4 eacutetapes

bull Eacutetape 1 informations sur lrsquoorganisme qui deacutesigne un DPO

bull Eacutetape 2 informations sur le deacuteleacutegueacute deacutesigneacute

bull Eacutetape 3 les informations publiques du deacuteleacutegueacute

bull Eacutetape 4 reacutecapitulatif et envoi agrave la CNIL

Le formulaire de deacutesignation peut ecirctre compleacuteteacute par le repreacutesentant leacutegal de lrsquoorganisme qui deacute-signe le DPO ou par toute autre personne speacutecifiquement mandateacutee par le repreacutesentant leacutegal

ATTENTION

La deacutesignation drsquoun DPO emporte des conseacutequences juridiques Le non-respect de lrsquoune des dispositions relatives au DPO est susceptible drsquoecirctre sanctionneacute Il est donc impeacuteratif que le repreacutesentant leacutegal du responsable de traitement ou du sous-traitant qui deacutesigne le DPO soit informeacute de la deacutemarche de deacutesignation drsquoun DPO pour son organisme

Eacutetape ndeg1 informations sur lrsquoorganisme qui deacutesigne le DPO

OPTION 1 LrsquoORGANISME DISPOSE DrsquoUN NUMEacuteRO SIREN Les informations concernant votre structure sont geacuteneacutereacutees automatiquement depuis le reacutepertoire SIRENE de lrsquoInstitut national de la statistique et des eacutetudes eacuteconomiques (INSEE)

Ces informations ne sont pas modifiables dans le formulaire Il peut exister des variations sur lrsquoeffec-tif et le secteur drsquoactiviteacute sans que cela nrsquoait drsquoim-pact sur la deacutesignation du deacuteleacutegueacute

En cas drsquoinformation erroneacutee (exemple adresse) rapprochez-vous des services de lrsquoINSEE ou consul-tez leur site internet wwwinseefr (rubrique laquo im-matriculer une entreprise modifier sa situation ou deacuteclarer sa cessation raquo)

48

OPTION 2 LrsquoORGANISME NE DISPOSE PAS DrsquoUN NUMEacuteRO SIRENCochez la case correspondante

Vous devez renseigner manuellement les informa-tions concernant la structure qui deacutesigne le deacuteleacute-gueacute

Agrave noter le champ laquo Contact CNIL raquo srsquoil ne srsquoagit pas du repreacutesentant leacutegal lui-mecircme il doit srsquoagir drsquoune personne en contact avec ce dernier (exemple as-sistant directeur adjoint) que la CNIL peut contac-ter srsquoil est besoin de contacter le repreacutesentant leacutegal

Ce laquo contact CNIL raquo ne peut pas ecirctre le deacuteleacutegueacute

Eacutetape ndeg2 informations sur le deacuteleacutegueacute deacutesigneacute

OPTION Ndeg 1 LE DEacuteLEacuteGUEacute DEacuteSIGNEacute EST UNE PERSONNE PHYSIQUE

49

OPTION Ndeg2 LE DEacuteLEacuteGUEacute DEacuteSIGNEacute EST UNE PERSONNE MORALEbull Soit lrsquoorganisme dispose drsquoun numeacutero SIREN les

informations de lrsquoorganisme sont geacuteneacutereacutees auto-matiquement depuis la base SIRENE de lrsquoINSEE (voir eacutetape ndeg1)

bull Soit lrsquoorganisme ne dispose pas drsquoun numeacutero SI-REN les informations devront ecirctre renseigneacutees manuellement

Agrave noter laquo Coordonneacutees de la personne chargeacutee de la deacutesignation raquo il srsquoagit de la personne physique en interne qui exerce les missions du deacuteleacutegueacute

50

Eacutetape ndeg3 les informations publiques du deacuteleacutegueacute

Agrave cette eacutetape du formulaire il est demandeacute de ren-seigner deux moyens pour contacter le DPO Lrsquoun drsquoeux doit ecirctre une adresse eacutelectronique ou un for-mulaire en ligne

Ces informations sont mises agrave la disposition du public (open data) depuis le site de la CNIL Ainsi afin drsquoeacuteviter de recevoir de trop nombreuses solli-citations il peut ecirctre preacutefeacuterable drsquoinclure comme point de contact eacutelectronique lrsquoadresse URL drsquoun formulaire en ligne

En tout eacutetat de cause ces coordonneacutees publiques nrsquoont pas agrave ecirctre identiques aux coordonneacutees uni-quement accessibles aux services de la CNIL

51

Eacutetape ndeg4 reacutecapitulatif et envoi agrave la CNIL

Avant de valider la deacutesignation pensez agrave veacuterifier les informations renseigneacutees dans le formulaire

Apregraves validation vous pourrez teacuteleacutecharger un reacuteca-pitulatif de la deacutesignation au format PDF

Agrave noter le responsable leacutegal de lrsquoorganisme deacutesi-gnant le deacuteleacutegueacute le contact de lrsquoorganisme pour la CNIL et le deacuteleacutegueacute deacutesigneacute recevront un courrier eacutelectronique de confirmation

ATTENTION

Il nrsquoest pas neacutecessaire drsquoenvoyer de document suppleacutementaire agrave la CNIL (exemple lettre de mission arrecircteacute deacutelibeacuteration etc)

En cas drsquoerreur sur le formulaire vous pouvez de-mander sa rectification en envoyant un courriel au service des DPO (dont lrsquoadresse figure dans lrsquoemail confirmant la deacutesignation du DPO)

emsp

52

ANNEXE Ndeg 4 Glossaire

AIPD Analyse drsquoimpact relative agrave la protection des donneacutees

API Application Programming Interface (interface de programmation drsquoapplication)

CEPD Comiteacute europeacuteen de la protection des donneacutees

DPD DPO Deacuteleacutegueacute(e) agrave la protection des donneacutees Data protection officer

RGPD Regraveglement geacuteneacuteral sur la protection des donneacutees

RSSI Responsable de la seacutecuriteacute des systegravemes drsquoinformation

53

wwwcnilfr

wwwcnilfrwwweducnumfrlinccnilfr

Commission nationalede lrsquoinformatique et des liberteacutes3 place de Fontenoy - TSA 8071575334 PARIS CEDEX 07Teacutel 01 53 73 22 22

Lrsquoobjectif de ce guide est drsquoaccompagner agrave la fois les organismes dans la mise en place de la fonction de deacuteleacutegueacute agrave la protection des donneacutees et ces deacuteleacutegueacutes

dans lrsquoexercice de leur meacutetier

Ce guide est un outil vivant qui sera enrichi des bonnes pratiques remonteacutees

par les professionnels aupregraves de la Commission Nationale de lrsquoInformatique et des Liberteacutes

1

2

3

4

4

6

6

7

10

12

14

20

24

28

28

32

36

38

38

38

39

40

40

40

41

41

42

42

42

44

44

45

47

52

AVANT-PROPOS


LE ROcircLE DU DPO


















FOIRE AUX QUESTIONS










ANNEXES



prise de fonction



2

AVANT-PROPOS















3









4

LE ROcircLE DU DPO















5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



1

2

3

4

4

6

6

7

10

12

14

20

24

28

28

32

36

38

38

38

39

40

40

40

41

41

42

42

42

44

44

45

47

52

AVANT-PROPOS


LE ROcircLE DU DPO


















FOIRE AUX QUESTIONS










ANNEXES



prise de fonction



2

AVANT-PROPOS















3









4

LE ROcircLE DU DPO















5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



2

AVANT-PROPOS















3









4

LE ROcircLE DU DPO















5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



3









4

LE ROcircLE DU DPO















5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



4

LE ROcircLE DU DPO















5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



5


















6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



6













7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



7




ATTENTION






8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



8









9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



9



TEXTES OFFICIELS


10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



10






BONNE PRATIQUE




BONNE PRATIQUE


11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



11













12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



12

EXEMPLES























13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



13
















14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



14










15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



15










ATTENTION


16













17













18











19




TEXTES OFFICIELS



20



DPO interne


Avantages





Points de vigilance





DPO externe


21

Avantages





Points de vigilance




DPO mutualiseacute


Avantages




Points de vigilance






EXEMPLES


22












23












24













25












26








EXEMPLE


27









28















29












30








31



TEXTES OFFICIELS


32












33











34











35


TEXTES OFFICIELS


36













37







TEXTES OFFICIELS



38












39









40











FOIR

E A

UX

QU

ESTI

ON

S

41








42









43






44
















AN

NEX

ES

45


ATTENTION











46

















47







ATTENTION






48







49





50





51





ATTENTION



emsp

52








53

wwwcnilfr



Documents

Guide pratique RGPD - Délégués à la protection des données