La CNIL a publié aujourd’hui 28 mars 2018 le formulaire de désignation des DPO afin que les organismes puissent dès à présent réaliser cette étape majeure dans la mise en conformité au RGPD.

Pour rappel, l’article 37 du RGPD prévoit que la désignation d’un DPO est obligatoire dans trois cas :
 pour toute autorité publique ou tout organisme public ;
 si les activités de base de l’organisme consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
 si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles, ou de données relatives aux condamnations et infractions spéciales.
Cette obligation concerne aussi bien les responsables de traitement que les sous-traitants. Notons que le G29 recommande la désignation d’un DPO même hors des cas de désignation obligatoire.

Avant d’accéder au formulaire de désignation, la CNIL rappelle au responsable de traitement l’importance de vérifier que le DPO dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

Pour cela, la CNIL rappelle trois conditions prévues par les articles 37 à 39 du RGPD :
 le DPO doit détenir les compétences juridiques requises incluant notamment une pratique en matière de protection des données personnelles ;
 le DPO doit disposer de moyens suffisants pour exercer ses missions notamment en bénéficiant des ressources nécessaires et du temps suffisant. Il doit être associé en amont des projets impliquant le traitement de données personnelles ;
 le DPO doit avoir la capacité d’agir en toute indépendance. Il ne doit pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction et doit rendre compte au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant.

La désignation du DPO s’effectue en quatre étapes :
 fournir des informations permettant de décrire la structure déclarante et son représentant,
 désigner le DPO et indiquer ses coordonnées,
 indiquer les coordonnées publiques du DPO, comme le prévoit le règlement
 validation et envoi. Le DPO doit mentionner au moins 2 moyens de contacts différents, dont au moins une adresse électronique publique ou une adresse internet vers un formulaire de contact.

Les organismes qui souhaitent désigner un Délégué à la protection des données (DPO) peuvent désormais le faire en utilisant le téléservice de désignation DPO https://www.cnil.fr/fr/designation-dpo.

L’extranet des CIL sera définitivement fermé le 30 avril 2018 et tous les CIL seront automatiquement en fin de mission au 25 mai 2018 dans la mesure où cette fonction disparait. La CNIL indique également que « Compte tenu de l’évolution de l’activité du service des DPO, nous nous orientons désormais principalement vers le soutien aux réseaux sectoriels, régionaux ou métiers qui deviendront vos interlocuteurs privilégiés. »

Toutefois, la désignation des DPO ne prendra effet qu’au 25 mai 2018, jour de l’entrée en application du Règlement européen sur la protection des données personnelles.