D.P.O. (Délégué à la protection des données)

Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

La désignation d’un délégué est obligatoire pour :

  1. Les autorités ou les organismes publics, Voir nos service A3sys, cliquez-ici
  2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Les lignes directrices du G29 clarifient les critères posés par le règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

Qui peut être délégué ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie ») (voir la question spécifique sur le conflit d’intérêts).
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).

Attention : La mise en place de la fonction de délégué nécessite d'être anticipée et organisée dès aujourd'hui, afin d'être prêt en mai 2018. Voir nos service A3sys, cliquez-ici

Accessibilité