Foire aux questions DPO

AUMANS Avocats, cabinet spécialisé en Droit des données personnelles & nouvelles technologies, répond à toutes vos questions concernant les DPO.

Selon la CNIL, le DPO, Délégué à la Protection des Données ou Data Protection Officer se définit par sa fonction :

« est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. »

Autrement dit, le DPO est le responsable de la protection des données personnelles au sein des organisations dans lesquelles il intervient. Il conseille et accompagne les organismes qui le désignent dans leur conformité.

Selon la CNIL,

Le Délégué à la protection des données est principalement chargé de :

  • Informer, conseiller et accompagner au sein de l'organisme qui le désigne afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles ;

  • Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles des employés comme des clients ;

  • Superviser des audits internes sur la protection des données personnelles ;

  • Conseiller le responsable sur l'opportunité de réaliser une analyse d'impact vie privée et en vérifier l'exécution ;

  • Recevoir et répondre à toute question ou réclamation relative à la protection des données ;

  • Coopérer avec l'autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

Le rôle de Délégué à la Portection est régi et détaillé dans le cadre du règlement général sur la protection des données (RGPD) datant du 23 mai 2018.

Section 4 - Délégué à la protection des données 

  • Article 37 - Désignation du délégué à la protection des données 

  • Article 38 - Fonction du délégué à la protection des données 

  • Article 39 - Missions du délégué à la protection des données 

Le règlement européen a une validité à l’échelle européenne.

Vous pouvez retrouver le règlement sur le site de la CNIL.

L’article 37.7 du RGPD rend obligatoire la désignation d’un DPO dans 3 cas :

  • Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).

  • Les organisations amenées, par nature, à suivre des personnes à grande échelle
    Par exemple : les compagnies d'assurance, les banques, les opérateurs téléphoniques, les fournisseurs d'accès internet.

  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale)

Elle est obligatoire :

  • Lorsque le traitement de données personnelles est effectué par une autorité publique ou un organisme public ;

  • Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitements de données qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

  • Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles et de données relatives à des condamnations pénales.

En dehors de ces cas de désignation obligatoire, de nombreuses entreprises et organisations choisissent de désigner un DPO pour assurer le pilotage de leur mise en conformité et mieux valoriser leurs données personnelles.

Les fonctions de délégué à la protection des données peuvent être externalisées, à temps plein ou à mi-temps.

Oui. Dans les autres cas, la désignation d'un Délégué à la protection des données est encouragée par la CNIL.

  • Le Délégué doit posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données. Son niveau d'expertise doit être adapté à l'activité de l'organisme pour lequel il est délégué et à la sensibilité des fichiers qui y sont mis en oeuvre.

  • Le Délégué doit avoir une connaissance du secteur d'activité et de l'organisme pour lequel il est désigné.

  • Il ne doit pas avoir de conflit d'intérêts avec ses autres missions.

  • Enfin, le Délégué doit pouvoir exercer ses missions en toute indépendance au sein de l'organisme qui l'a désigné

Pour être DPO, il n'est pas obligatoire d'être certifié.

Depuis le 11 octobre 2018, la CNIL peut délivrer des agréments à des organismes, les "organismes certificateurs", qui pourront, à leur tour, délivrer des certifications DPO à toute personne intéressée, désignée ou non.

La désignation d’un DPO externe présente plusieurs avantages :

  • Un regard extérieur sur les enjeux de protection des données personnelles ;

  • Une valorisation efficaces des données personnelles et une vision proactive ;

  • Une sécurité juridique renforcée.

  • L’assurance d’un conseil par des avocats spécialisés en droit de la protection des données personnelles ;

  • Un cabinet d’avocats impliqué dans l’écosystème data ;

  • Une pratique réputée en protection des données (Leaders League 2019) ;

  • Les garanties d’un cabinet d’avocats (secret professionnel, déontologie, confidentialité etc…) ;

  • Une expertise spécifique en matière de DPO.

Avocat DPO
DPO externalisé
DPO & Santé