Délégué à la protection des données (DPO)

Le DPO : Un acteur essentiel de la conformité RGPD

Le DPO joue un rôle clé dans la conformité au RGPD en conseillant, formant et contrôlant les traitements de données personnelles au sein des entreprises et organismes.

Le DPO peut être internalisé ou externalisé mais dans tous les cas, il doit être désigné sur « la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions« . S’il n’est pas obligatoire pour un DPO d’être certifié, la certification est une preuve de conformité aux exigences de compétences du RGPD. 

Choisir un DPO externe peut avoir plusieurs avantages:

• Réduction des coûts: pas besoin d’embaucher une personne 
• Expertise: en choisissant un avocat spécialisé ou un DPO certifié comme Me de la Clergerie, vous répondez à l’obligation de compétence de votre DPO
• Gain de temps: Vous vous concentrez sur votre activité principale et déléguez sereinement à un expert
• Absence de conflit d’intérêt: en choisissant un DPO externe, vous évitez tout risque de conflit d’intérêt

Contexte Juridique

Le cadre législatif applicable au DPO trouve son fondement principal dans le Règlement Général sur la Protection des Données (« RGPD »), en application depuis le 25 mai 2018 dans toute l’Union européenne.

Ce texte impose la désignation d’un DPO dans certains cas et dans certaines structures et définit précisément son rôle et ses missions. 

Il est donc nécessaire en priorité de vérifier si votre structure est soumise à l’obligation de nommer un DPO. Cette analyse peut être effectuée en interne ou par Me de la Clergerie dans le cadre d’une consultation sur l’obligation de nommer un DPO. 

Si la désignation d’un DPO n’est pas obligatoire, elle est recommandée dès lors que votre entité rencontre des problématiques liées à la protection des données à caractère personnel. 

Le DPO aura pour missions :

• de vous informer
• de vous conseiller
• de contrôler l’application du RGPD
• de dispenser des conseils, sur demande, sur les études d’impact
• de coopérer avec l’autorité de contrôle
• de faire office de point de contact pour l’autorité de contrôle

Lorsque la désignation d’un DPO est obligatoire, l’absence de désignation d’un DPO entraine un risque de sanction par la CNIL (rappel à l’ordre, injonction de mise en conformité, amende administrative pouvant s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent).

En France, la désignation d’un DPO doit être effectuée auprès de la CNIL

tion (voir la question « Auprès de quelle autorité de contrôle désigner mon DPO ? »). S’il s’agit de la CNIL, il peut alors procéder à la désignation en ligne de son délégué. La désignation du DPO auprès de la CNIL ne se fait qu’en ligne via le téléservice dédié. Aucun courrier postal n’est traité et il n’est pas nécessaire d’envoyer de documents justificatifs tels qu’une délibération du conseil municipal portant désignation du délégué.