Publication par la CNIL d’un guide relatif au délégué à la protection des données (DPO)
2min -1/ Rappel du contexte
Mis en place le 25 mai 2018, le RGPD (Règlement général sur la protection des données) est entré dans le quotidien des entreprises et des utilisateurs.
En principe, le RGPD s’applique à toutes les entreprises, mais pas de la même façon.
Pour mettre en œuvre cette réglementation, il a été pensé une fonction spéciale : le «Data Protection Officer», appelé en français «Délégué à la protection des données». À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles. La CNIL a, le 16 novembre 2021, publié un guide pédagogique et explicatif sur le sujet.
2/ Quelles sont les entreprises concernées par l’obligation de mise en place d’un DPO ?
Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire :
- les organismes et les entreprises publiques ;
- les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.
Plus exactement, selon l’article 37 du RGPD, il est nécessaire de recruter un DPO dans les cas suivants :
- lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
- lorsqu’il s’agit d’un un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
3/ Quels sont les conseils de la CNIL ?
Quand bien même l’obligation ne s’applique pas à un organisme particulier, la CNIL est formelle : cette désignation est fortement recommandée. A minima, les organismes sont tenus de respecter à la lettre le texte du Règlement RGPD.
En effet, la CNIL encourage la désignation d’un Délégué à la protection des Données pour les entreprises qui collectent des données personnelles hors du cadre des activités de base (celles liées directement à l’activité de l’organisme et qui sont nécessaires pour l’exercer). Par exemple, les activités de paye devraient être encadrées car sensibles
Autrement dit, même si une entreprise n’a pas besoin de disposer d’un DPO en interne, mais il lui est tout de même nécessaire, pour respecter le RGPD, de désigner un pilote pour la gestion des données personnelles en son sein.
Ceci dit, il peut s’agir de l’un de ses collaborateurs si l’entreprise considère que ce dernier est à même d’effectuer cette tâche avec efficacité, ou bien il peut s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / où d’un cabinet d’avocats pour la gestion juridique.
Pour rappel : à défaut de désigner un DPO, les PME doivent consigner toute information recueillie sur quelqu’un dans un registre des données personnelles. Il leur faut aussi réaliser l’inventaire de leurs données (chronotachygraphe, paie, fichier clients et prospects) et s’assurer que le traitement qu’elles en font respectent la loi.