Blog Données personnelles
La CNIL publie un guide pratique du délégué à la protection des données
Le 16 novembre 2021, la CNIL a publié un guide pratique du délégué à la protection des données (DPO) ayant vocation à aider les organismes et accompagner les DPO.
Avant toute chose, la CNIL rappelle le rôle du DPO d’un organisme et le résume en quatre points clés :
- conseiller et accompagner l’organisme
- contrôler l’effectivité des règles
- être le point de contact de l’organisme
- assurer la documentation des traitements de données
Le guide conseille également les organismes pour la désignation du DPO en effectuant un tableau « Avantages/ Points de vigilance » entre un DPO interne et externe. À ce titre, la CNIL précise par exemple qu’un DPO interne pourra avoir une meilleure connaissance de l’organisation de la structure ainsi que du secteur d’activité tandis que le DPO externe aura des connaissances de bonnes pratiques pour des organismes similaires.
La CNIL insiste sur les ressources devant être mises à disposition du DPO : le DPO doit disposer du temps nécessaire, des ressources financières nécessaires, de l’accès aux données personnelles, etc.
S’agissant du statut du DPO, celui-ci doit être indépendant c’est-à-dire qu’il :
- ne doit pas recevoir d’instructions dans l’exercice de ses missions,
- ne doit pas faire l’objet d’une sanction ou d’un licenciement du fait de l’accomplissement de ses missions,
- faire directement rapport aux échelons les plus élevés de la direction de l’organisme.
Le DPO ne peut en aucun cas être responsable en cas de non-respect du RGPD au sein de l’organisme qui l’a désigné. Les seules hypothèses de mise en cause du DPO sont les cas où le DPO enfreint intentionnellement des dispositions pénales ou lorsque le DPO externe commet une faute professionnelle causant un dommage à l’organisme.
Enfin, la CNIL insiste sur les compétences du DPO qui doit disposer du niveau de connaissances suffisants afin d’exercer ses missions. La CNIL ne précise toutefois pas le profil type du DPO.