Fiche thématique
4 min de lecture
15 juin 2021
Le délégué à la protection des données (DPD) ou data protection officer (DPO) accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité aux textes en vigueur.

Sommaire

Désignation du délégué à la protection des données

Caractère obligatoire ou facultatif de la désignation

La désignation d'un délégué à la protection des données (DPD) est facultative à l'exception des trois hypothèses suivantes :

  • lorsque le traitement est réalisé par une autorité ou un organisme public ;
  • lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ; lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions (Règl. UE 2016/679 du 27 avr. 2019, art. 9 et 10).

Hors ces cas précis, la désignation d'un délégué à la protection des données demeure toutefois vivement recommandée par la Commission nationale de l'informatique et des libertés (CNIL) et le Comité européen à la protection des données (CEPD). Un responsable du traitement ou un sous-traitant qui ne désignerait pas de DPD devrait documenter ce choix. Cette documentation peut être exigée par l'autorité de contrôle.

Modalités de la désignation

Critères de désignation

Le choix du délégué à la protection des données est libre. Il peut s'agir d'une personnalité extérieure agissant sur la base d'un contrat de service ou d'un employé du responsable de traitement ou du sous-traitant. Un groupe d'entreprises peut désigner un seul DPD à la condition qu'il soit facilement joignable à partir de chaque lieu d'établissement.

La personne désignée doit présenter les qualités professionnelles requises pour exercer les missions qui lui sont dévolues et doit plus particulièrement posséder les connaissances spécialisées du droit et des pratiques en matière de protection des données. Des procédures de certification réalisées par des organismes agréés au regard d'un référentiel adopté par la CNIL permettent aujourd'hui de s'assurer des compétences d'un délégué à la protection des données ( CNIL, Délib no 2018-318 du 20 sept. 2018). Ces organismes sont eux-mêmes soumis à certains critères établis par la CNIL ( CNIL, Délib. no 2018-317 du 20 sept. 2018).

En tout état de cause, il doit s'agir d'un professionnel capable d'exercer sa fonction en toute indépendance.

Publicité de la désignation

Il appartient au responsable de traitement ou au sous-traitant de publier les coordonnées du délégué à la protection des données et de les communiquer à la CNIL ainsi qu'aux personnes concernées.

Conditions d'exercice de la fonction

Obligations du responsable de traitement ou du sous-traitant

Le responsable de traitement ou le sous-traitant doit associer, en amont, le délégué à la protection des données à toutes les questions relevant de la protection des données à caractère personnel.

Ils doivent par ailleurs lui procurer les ressources nécessaires pour exercer ses missions ainsi qu'un accès aux données à caractère personnel et aux mécanismes de traitement. Ils l'aident à se former en lui permettant d'entretenir ses connaissances spécialisées.

Ils sont tenus de s'assurer que les missions confiées aux DPD ne placent pas ce dernier dans un conflit d'intérêts.

Confidentialité

Dans le cadre de ses fonctions, le délégué à la protection des données est soumis au secret professionnel ainsi qu'à un devoir de confidentialité.

Indépendance

Le délégué à la protection des données exerce son office en toute indépendance. Il rend compte de son travail au plus haut degré de la hiérarchie et ne peut recevoir d'instruction ni être sanctionné par le responsable du traitement ou le sous-traitant lorsqu'il agit dans le cadre de ses missions. Il reste cependant responsable de ses fautes professionnelles ou d'autres fautes graves en vertu du droit commun.

Responsabilité

Le délégué à la protection des données n'est pas personnellement responsable du non-respect par l'organisme de la réglementation en matière de protection des données. Seul le responsable de traitement ou le sous-traitant peut voir sa responsabilité engagée (Règl. UE 2016/679 du 27 avr. 2016, art. 24, § 1 et art. 28).

Missions

Information et conseil du responsable de traitement ou du sous-traitant

Le délégué à la protection des données informe le responsable de traitement ou le sous-traitant ainsi que les membres du personnel en charge du traitement de leurs droits et obligations en matière de protection des données. Il répond à leurs éventuelles interrogations dans ce domaine.

Lorsqu'une analyse d'impact est réalisée, il est chargé de conseiller l'organisme qui l'a désigné.

Information et conseil des personnes concernées

Il appartient également au délégué à la protection des données, dont les coordonnées sont publiques, de répondre aux questions des personnes concernées s'agissant des traitements de leurs données et de les informer de leurs droits en la matière.

Contrôle de la conformité

Le délégué à la protection des données contrôle le respect, par le responsable de traitement ou le sous-traitant du droit de l'Union et du droit interne en matière de protection des données. Il s'assure de la conformité des traitements au RGPD, aux législations nationales applicables ainsi qu'aux règles internes.

Coopération et contact avec la CNIL

Une fois le délégué à la protection des données désigné, il devient le contact privilégié de la CNIL en matière de protection des données. Il consulte également cette autorité lorsque cela s'avère nécessaire et notamment lorsqu'une analyse d'impact révèle qu'un traitement présente un risque élevé.

Réalisation des analyses d'impact

Le délégué à la protection des données conseille le responsable du traitement sur la nécessité de réaliser une analyse d'impact et vérifie la bonne exécution de celle-ci. L'autorité de contrôle européenne a précisé certains points sur lesquels le responsable du traitement doit consulter le DPD (Lignes directrices WP 243 rev.).

Analyse du risque

Le délégué à la protection des données a l'obligation de prioriser ses activités pour privilégier celles qui présentent un risque important compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Tenue du registre des opérations de traitement

La liste des missions établie par le RGPD n'est pas limitative (Règl. UE 2016/679 du 27 avr. 2019, art. 39). Par conséquent, le CEPD en a déduit, dans ses lignes directrices, que rien ne s'oppose à ce que le responsable du traitement ou le sous-traitant confie au délégué à la protection la tenue du registre des opérations de traitement (Lignes directrices WP 243 rev.01).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
738,18 € TTC/an
Revue de jurisprudence de droit des affaires
Questions fréquemment posées

Quelles sont les informations liées à la désignation d’un délégué à la protection des données (DPD ou « data protection officer – DPO ») ?

Les coordonnées du DPO doivent être communiquées à la Cnil via le formulaire de désignation d'un DPO disponible à l'adresse suivante : https://www.cnil.fr/fr/designation-dpo

Le responsable du traitement doit également publier les coordonnées du DPO. Celles-ci peuvent inclure uniquement l'adresse électronique et l'adresse postale. Les modalités exactes de publication de ces coordonnées ne sont pas précisées par les textes. Une publication sur un onglet du site internet de l'organisme pourrait être envisagée.

Le délégué à la protection des données peut-il être chargé d’autres fonctions au sein de l’organisation ?

Si le DPO peut exécuter d'autres missions et tâches, le responsable du traitement ou le sous-traitant doivent veiller à ce qu'elles n'entraînent pas de conflit d'intérêts.

Selon le CEPD, sont incompatibles avec les fonctions de DPO : les fonctions d'encadrement supérieur (directeur général, directeur financier, directeur du département marketing, DRH, DSI, etc.) ; les rôles moins importants s’ils conduisent à la détermination des objectifs et moyens de traitement de données personnelles ; les activités de représentation du responsable du traitement devant les tribunaux dans les affaires ayant trait à des questions liées à la protection des données.

Les dernières actualités dans ce thème
20 % des violations de données sont causées par des erreurs humaines
Droit des affaires
Protection des données personnelles (RGPD)
20 % des violations de données sont causées par des erreurs humaines
29 mars 2024