03 66 72 26 33

Le DPO (Data Protection Officer)

La CNIL a publié, le 6 avril 2022, un guide pratique à destination :

  • des organismes souhaitant / devant désigner un Délégué à la protection des données (Data Protection Officer ou DPO) ;
  • des DPO déjà en poste.

Qu’est-ce que le DPO ?

Le DPO (Data protection officer) correspond au délégué à la protection des données. Ce métier est issu du RGPD (25/05/2018), mais n’est pas nouveau. En effet, il existait déjà auparavant sous l’appellation de « correspondant informatique et libertés » (CIL). Toutefois, sa présence au sein des organismes n’était alors que facultative. Depuis 2018, de nombreux organismes ont l’obligation de désigner un DPO (en 2021, plus de 80 000 organismes ont désigné un DPO). En effet, l’article 37 du RGPD pose trois situations dans lesquelles la désignation du DPO est obligatoire :

  • Lorsque le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public.
  • Lorsque les activités de base de l’organisme sont des opérations de traitement de données qui exigent un suivi régulier et systématique à grande échelle (non officiellement quantifiée) des personnes concernées, du fait de leur nature, de leur portée et/ou de leur finalité.
  • Lorsque les activités de base de l’organisme consistent en un traitement spécifique de données à grande échelle visé aux articles 9 et 10 du RGPD (données sensibles, condamnations pénales et infractions).

En dehors de ces trois cas, la CNIL recommande tout de même aux organismes de désigner un DPO dès lors qu’ils rencontrent des problématiques liées à la protection des données.

Le rôle du DPO

Le DPO a un rôle important depuis son apparition dans le RGPD. En effet, il doit être un véritable « chef d’orchestre » de la gestion des données personnelles au sein de l’organisme pour lequel il a été désigné. L’essentiel de ses fonctions consiste à :

  • Conseiller et accompagner l’organisme : il apporte son expertise, informe toute personne traitant des données au sein de l’organisme sur les règles applicables, peut imposer son intervention ou sa présence systématique pour certaines situations, etc.
Attention : Le DPO n’est pas responsable de la conformité de l’organisme aux dispositions du RGPD et des différentes obligations qui en découlent.
  • Contrôler le respect du RGPD  : il vérifie l’exactitude des informations contenues dans le registre des traitements mis en œuvre par l’organisme et de la conformité des traitements les plus sensibles, met en place des outils de suivi, contrôle l’effectivité des mesures de protection des données mises en œuvre, etc.
  • Être le point de contact de l’organisme sur les sujets RGPD : Le DPO peut consulter la CNIL sur toutes questions ayant un rapport avec la protection des données ou ses fonctions et coopère avec elle en cas de contrôle. Il est aussi le point de contact des personnes concernées par les traitements de données personnelles, il peut alors répondre à leurs questions sur le sujet et prendre en charge le traitement de leur demande d’exercice de droits. Ainsi, le délégué doit être informé et consulté dès lors qu’il s’agit d’un projet impliquant des données personnelles.
Attention : L’organisme doit d’abord prendre le soin de consulter son DPO sur la question qu’il se pose avant d’adresser une demande de conseils à la CNIL. A défaut de consultation préalable du DPO, la CNIL ne répondra pas à la demande de l’organisme.
  • Assurer la documentation des traitements de données : La documentation est obligatoire et permet à l’entité (responsable de traitement ou sous-traitant) de prouver le respect de ses obligations et les démarches entreprises. Le DPO doit s’assurer du respect de la tenue de cette documentation.

Quelques exemples d’éléments pouvant être intégrés dans la documentation :

  • le registre des activités de traitement (le DPO peut prendre en charge cette mission)
  • les analyses d’impact relatives à la protection des données (AIPD)
  • le registre des violations des données
  • les mentions d’informations
  • les preuves du recueil du consentement
  • les outils d’encadrement des transferts hors UE
  • l’analyse écrite sur l’absence de conflit d’intérêts du DPO

La désignation du DPO

Le profil du DPO

Pour pouvoir désigner un DPO, il faut vérifier s’il remplit ou non ces différents critères :

  • Détenir les compétences requises : Le DPO doit bénéficier d’une expertise juridique et technique en matière de protection des données personnelles et d’une bonne connaissance dans le domaine.
  • Disposer de moyens suffisants : Le DPO doit disposer du temps suffisant pour exercer ses missions, de moyens matériels et humains, d’un accès aux information utiles. De plus, il doit être associé aux projets impliquant des données personnelles, être facilement joignable, etc.
  • Avoir la capacité d’agir en toute indépendance : Le DPO dispose d’un statut particulier. Il est indépendant et ne peut pas recevoir d’instructions dans l’exercice de ses missions. Il ne peut pas non plus être sanctionné en cas de non-respect du RGPD. Le DPO ne doit pas être dans une situation de conflit d’intérêt en cas de cumul de sa fonction de délégué avec une autre fonction. Enfin, il est soumis à une obligation de confidentialité et au secret professionnel.

Les types de DPO

L’organisme dispose d’un libre choix dans la désignation de son DPO. En effet, le DPO peut être une personne physique ou une personne morale. De plus, il peut s’agir d’un DPO interne ou d’un DPO externe.

  • Le DPO interne  : Le délégué est un membre du personnel de l’entreprise. Il pourra alors exercer ses fonctions à temps plein ou à temps partiel. Ce mode de désignation présente différents avantages. En effet, le délégué est présent directement sur le terrain, il connait l’organisme et ses interlocuteurs internes. Cependant, il est nécessaire que l’organisme veille à ce qu’il n’y ait pas de conflit d’intérêt et que le délégué dispose de temps suffisant pour exercer ses missions.
  • Le DPO externe : Le délégué exerce ses fonctions sur la base d’un contrat de service conclu avec une personne physique ou morale (cabinet d’avocats, cabinet de conseil, consultant, etc.). Cette désignation est utile notamment dans le cas où l’organisme ne dispose pas de ressource humaine en interne. L’avantage est aussi que ce type de DPO sera spécialisé dans un secteur et disposera déjà d’une expérience avec d’autres organismes. Cependant, il faut veiller à assurer une certaine proximité par un contact régulier entre le DPO externe et l’organisme.
  • Le DPO mutualisé : Il s’agit d’un DPO (interne ou externe) désigné pour plusieurs entités. Cette désignation a pour avantage d’uniformiser les procédures entre les entités, mais il faut tout de même s’assurer que le DPO soit tenu informé de l’ensemble des sujets internes liés à la protection des données.
Attention : La mutualisation n’est possible que sous certaines conditions qui varient en fonction du type de structure.

  • Secteur privé : Le délégué mutualisé pour un groupe d’entreprise doit être facilement joignable à partir de chaque filiale.
  • Secteur public : La mutualisation sera possible entre plusieurs autorités ou organismes publics, en tenant compte de leur structure organisationnelle et de leur taille (cela se fera notamment pour les plus petites collectivités territoriales). Le 31 mai 2022, la CNIL a mis publiquement en demeure 22 communes de désigner un DPO.



En cas de mutualisation, chacune des entités concernées devra compléter le formulaire de désignation du délégué auprès de la CNIL.

La CNIL recommande de formaliser les missions confiées au DPO et de définir ses modalités de travail dans un document spécifique (lettre de mission, avenant au contrat de travail, fiche de poste, contrat de prestation de service pour le DPO externe, etc.).

Les formalités à suivre lors de la désignation

L’organisme doit remplir plusieurs formalités lors de la désignation de son DPO :

  • Compléter le formulaire de désignation de DPO : Il est constitué de 4 étapes :
  1. Informations sur l’organisme qui désigne un DPO
  2. Informations sur le délégué désigné (personne physique ou morale)
  3. Les informations publiques du délégué (renseigner deux moyens de contacter le DPO)
  4. Récapitulatif et envoi à la CNIL
Attention : Le non-respect de la démarche de désignation du DPO ou de l’une des dispositions relatives au DPO emporte des conséquences juridiques.
En cas d’erreur sur le formulaire, l’organisme peut demander sa rectification en envoyant un courriel au service des DPO.
  • Remettre une lettre de mission au DPO lors de sa prise de fonction : Les missions confiées par l’organisme au délégué doivent être adaptées aux spécificités du contexte (nature juridique de l’organisme, type d’activité, profil et positionnement du délégué) dans les limites des missions du DPO définies par le RGPD.

Liens :

https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees

https://www.cnil.fr/sites/default/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf

Marie BREYNE, Juriste
Raphaël RAULT, Avocat associé