Le 16 novembre 2021, la CNIL a publié un guide pratique du délégué à la protection des données (DPO) ayant vocation à aider les organismes et accompagner les DPO.
Avant toute chose, la CNIL rappelle le rôle du DPO d’un organisme et le résume en quatre points clés :
Le guide conseille également les organismes pour la désignation du DPO en effectuant un tableau « Avantages/ Points de vigilance » entre un DPO interne et externe. À ce titre, la CNIL précise par exemple qu’un DPO interne pourra avoir une meilleure connaissance de l’organisation de la structure ainsi que du secteur d’activité tandis que le DPO externe aura des connaissances de bonnes pratiques pour des organismes similaires.
La CNIL insiste sur les ressources devant être mises à disposition du DPO : le DPO doit disposer du temps nécessaire, des ressources financières nécessaires, de l’accès aux données personnelles, etc.
S’agissant du statut du DPO, celui-ci doit être indépendant c’est-à-dire qu’il :
Le DPO ne peut en aucun cas être responsable en cas de non-respect du RGPD au sein de l’organisme qui l’a désigné. Les seules hypothèses de mise en cause du DPO sont les cas où le DPO enfreint intentionnellement des dispositions pénales ou lorsque le DPO externe commet une faute professionnelle causant un dommage à l’organisme.
Enfin, la CNIL insiste sur les compétences du DPO qui doit disposer du niveau de connaissances suffisants afin d’exercer ses missions. La CNIL ne précise toutefois pas le profil type du DPO.