Vue d'ensemble

Avant de désigner en ligne votre délégué à la protection des données, vérifiez qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

Quoi :
Désigner votre DPO partagé
Ou :
Site de la CNIL
DPO Partage :
Vous guide dans vos démarches

Trois conditions

1. LE DPO DÉTIENT LES COMPÉTENCES REQUISES

Cela suppose :

  • une expertise juridique et technique en matière de protection des données personnelles ;
  • une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données.

Ces compétences peuvent être acquises, par exemple, à l’occasion de formations adaptées à son profil.

DPO Partage rempli parfaitement ces conditions : nous contacter

2. LE DPO DISPOSE DE MOYENS SUFFISANTS

Cela implique en particulier pour le DPO de :

  • disposer du temps suffisant pour exercer ses missions ;
  • bénéficier de moyens matériels et humains adéquats ;
  • pouvoir accéder aux informations utiles ;
  • être associé en amont des projets impliquant des données personnelles ;
  • être facilement joignable par les personnes concernées

3. LE DPO A LA CAPACITÉ D’AGIR EN TOUTE INDÉPENDANCE

Cela signifie :

  • ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction ;
  • pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ;
  • ne pas être sanctionné pour l’exercice de ses missions de DPO
  • ne pas recevoir d’instructions dans le cadre de l’exercice de ses missions de DPO.

Obligation ?

La désignation d’un délégué est obligatoire dans trois cas de figure :

  • si le traitement est réalisé par une entité publique ;
  • si la structure a une activité l’amenant « à réaliser un suivi régulier et systématique des personnes à grande échelle » ;
  • si la structure effectue un traitement impliquant des données sensibles ou liées à des condamnations pénales et infractions.

Si l’organisation ne coche aucun de ces critères, alors il est facultatif de désigner un délégué. Toutefois, les autorités de protection européennes encouragent toutes les structures à désigner un délégué. Cela « permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles ».

TRAITEMENT À GRANDE ÉCHELLE ?

Si le premier et le troisième critère n’appellent pas de remarque particulière, le deuxième pose en revanche la question de savoir à partir de quel seuil telle ou telle entité effectue un traitement « régulier et systématique ». Et surtout, qu’est-ce que signifie exactement un suivi des personnes « à grande échelle » ? Ici, il faut se tourner vers le Groupe de travail Article 29 sur la protection des données.

Le G29, dont fait partie la Cnil, a en effet publié des lignes directrices, résumées dans une foire aux questions, qui permettent d’éclairer ce que ces deux notions recouvrent : cela peut être le périmètre géographique du traitement, le nombre de personnes visées par le traitement, la durée ou la permanence du traitement ou encore le volume de données et la variété des données traitées.

Désignation

COMMENT LE DÉSIGNER ?

Depuis le 28 mars, la Commission nationale de l’informatique et des libertés propose un téléservice sur son site web pour désigner un délégué à la protection des données. Le formulaire à remplir se trouve à cette adresse. Il vous faudra remplir trois sections (organisme concerné, choix du délégué et coordonnées publiques). Ensuite, les informations renseignées seront récapitulées et transmises à la Cnil.