RGPD : la CNIL publie un guide sur le délégué à la protection des données
Temps de lecture : 4 min
Contenu ancien
Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.
DPO : synthèse de ses conditions de désignation
La fonction de délégué à la protection des données (DPO) a été instituée par le règlement général sur la protection des données (RGPD).
Pour en savoir plus sur les obligations découlant du RGPD, nous vous invitons à télécharger notre livre blanc « Données personnelles (RGPD) - L’impact pour les RH ».
Vous avez l’obligation de désigner un DPO dans votre entreprise uniquement dans les cas suivants :
- les activités de base de l’entreprise consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple les banques, les compagnies d’assurance, les opérateurs téléphoniques et les fournisseurs d’accès internet) ;
- les activités de base de l’entreprise consistent en un traitement à grande échelle de catégories particulières de données (qui concernent notamment l'origine, les opinions politiques ou religieuses, l'appartenance syndicale, la santé ou l'orientation sexuelle) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions (par exemple les pharmacies, les laboratoires de biologie médicale, et les cabinets médicaux qui exercent leur activité au sein d’un réseau de professionnels, en maison de santé etc.).
Vous retrouverez toutes les précisions concernant les entreprises soumises à l’obligation de désigner un DPO dans le guide de la CNIL disponible au téléchargement à la fin de cet article.
Vous avez la possibilité de désigner un DPO dans votre entreprise même si vous n’êtes pas concerné par cette obligation. Cela est d’ailleurs recommandé par la CNIL si vous rencontrez des problématiques relatives à la protection des données personnelles au sein de votre entreprise.
Le DPO peut exercer d’autres missions et tâches sous réserve qu’elles n’entraînent pas de conflit d'intérêt. Vous pouvez donc désigner un membre du personnel de votre entreprise comme DPO.
En tout état de cause, cette personne doit être désignée DPO en raison de ses qualités professionnelles, de ses connaissances du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions inhérentes à cette fonction.
Une fois votre DPO désigné, vous devez communiquer cette information en interne dans votre entreprise et en informer la CNIL.
DPO : synthèse de son rôle
Le DPO est le chef d’orchestre de la gestion des données personnelles dans l’entreprise qui le désigne. Il doit donc être associé à toutes les questions relatives à la protection des données à caractère personnel.
Il peut ainsi être interrogé par toute personne dont les données à caractère personnel font l’objet d’un traitement, sur la nature du traitement effectué et sur ses droits en découlant (droit de consultation, de rectification etc.).
Le DPO est en charge des missions suivantes :
- informer et conseiller l’entreprise et les salariés qui procèdent au traitement de données sur les obligations qui leur incombent en matière de protection des données ;
- contrôler le respect de ces obligations, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données (AIPD) et vérifier son exécution ;
- coopérer avec la CNIL, faire office pour elle de point de contact sur les questions relatives au traitement, et mener des consultations, le cas échéant, sur tout autre sujet.
Dans l'accomplissement de ces missions, le DPO tient compte du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Il exerce ces fonctions en toute indépendance : il ne peut recevoir aucune instruction dans le cadre de l’exercice de ses fonctions de DPO, dont il ne peut pas être relevé et pour lesquelles il ne peut pas être pénalisé.
Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ces missions.
Pour plus de détails concernant le rôle du DPO, sa désignation, l’exercice de ses fonctions et son accompagnement par la CNIL, nous vous invitons à télécharger le guide pratique de la CNIL.
CNIL, actualité, La CNIL publie un guide du délégué à la protection des données, 16 novembre 2021
Juriste en droit social
- Evaluation des salariés : tout savoir sur l’entretien annuelPublié le 10/01/2025
- Fin de CDD : quels documents remettre et quelle indemnité verser ?Publié le 23/12/2024
- CDD : l’absence d’un paraphe sur une page n'entraîne pas l’irrégularité du contrat signéPublié le 06/12/2024
- Tout savoir sur la période d’essai des cadresPublié le 25/11/2024
- Emploi des seniors : ce qu’il faut retenir du projet d’ANI du 14 novembre 2024Publié le 21/11/2024