Délégué à la protection des données
Définition et cadre réglementaire
Le Délégué à la protection des données (souvent désigné par son acronyme DPO pour Data Protection Officer) est un acteur clé dans la mise en conformité des institutions publiques et privées avec la RGPD. Ce rôle, introduit par le RGPD de l'Union européenne, a été rendu obligatoire dans de nombreux cas pour les administrations publiques, les collectivités territoriales, les établissements publics et les organismes traitant des données à caractère personnel à grande échelle.
En France, la fonction de DPO remplace celle de Correspondant informatique et libertés (CIL), instituée sous l'égide de la CNIL. Le Loi Informatique et Libertés modifiée en 2018 adapte le droit français à ce nouveau cadre.
Missions principales
Le DPO a pour mission de garantir la bonne application de la réglementation relative à la protection des données personnelles au sein de l'organisme dans lequel il est nommé. Ses principales missions sont les suivantes :
- Informer et conseiller le responsable de traitement ainsi que les employés sur les obligations qui leur incombent en matière de protection des données ;
- Contrôler le respect du RGPD, de la Loi Informatique et Libertés et des règlements internes en matière de données ;
- Conseiller sur la réalisation des analyses d'impact (PIA), en particulier pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes ;
- Faire office de point de contact pour la CNIL et coopérer avec elle ;
- Gérer l'inventaire des traitements de données personnelles et actualiser la documentation prévue par le RGPD.
Désignation et statut du DPO
La désignation d’un DPO est obligatoire pour :
- Les autorités publiques et organismes publics (hors juridiction judiciaire quand elle agit dans le cadre de ses fonctions juridictionnelles)
- Les organismes dont les activités de base consistent en des traitements nécessitant un suivi régulier et systématique des personnes à grande échelle
- Les organismes traitant à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
La désignation peut être volontaire même lorsque la désignation n’est pas obligatoire. Le DPO peut être un membre du personnel ou un prestataire externe.
| Critère | Obligation / Option |
|---|---|
| Organisme public | Obligation |
| Traitement à grande échelle de données sensibles | Obligation |
| Suivi régulier et systématique à grande échelle | Obligation |
| Autres cas | Option |
Compétences et profil du DPO
Le Délégué à la protection des données doit disposer de compétences juridiques, techniques et organisationnelles appropriées. Il est recommandé qu’il maîtrise notamment :
- Les textes législatifs comme le RGPD et la Loi Informatique et Libertés
- Les principes de sécurité informatique
- Les enjeux liés à la gouvernance des données
- La gestion des incidents (y compris la notification des violations à la CNIL)
- La conduite de sessions de formation et de sensibilisation auprès du personnel
Les formations reconnues incluent parfois une certification DPO délivrée par des organismes agréés comme AFNOR, CNPP ou Bureau Veritas.
Responsabilité et indépendance
Le Délégué à la protection des données exerce ses missions en toute indépendance, sans recevoir d’instructions sur l’exercice de ses missions. Il ne peut être sanctionné ou licencié pour l’exercice de son rôle. Il relève directement du niveau le plus élevé de la direction.
La responsabilité du traitement incombe néanmoins au responsable de traitement, mais la non-désignation ou l’absence d’indépendance du DPO peut entraîner des sanctions de la part de la CNIL.
Relations avec la CNIL et autres parties prenantes
Le DPO constitue le relais principal entre l'organisme et la CNIL. Il centralise les demandes d’exercice des droits (accès, rectification, opposition) des personnes concernées, guide la documentation des traitements, assure la cohérence des analyses d’impact et peut être consulté pour toutes les questions relatives à la conformité.
Il agit également auprès des différentes directions métiers, des services informatiques et des ressources humaines afin de coordonner l’ensemble des actions de mise en conformité.
DPO dans la fonction publique
Au sein de la fonction publique d'État, de la fonction publique territoriale et de la fonction publique hospitalière, le DPO est appelé à intervenir sur des sujets tels que :
- Gestion des dossiers du personnel
- Numérisation des archives administratives
- Usage de vidéoprotection dans l’espace public
- Traitement de données de santé dans les établissements hospitaliers
Des réseaux de DPO se sont organisés sous l'impulsion du Ministère de la Transformation et de la Fonction publiques, permettant échanges de bonnes pratiques et veille réglementaire.
Outils et ressources
Le DPO bénéficie d'outils mis à disposition par la CNIL, comme le guide pratique du DPO, des modèles de registre des activités de traitement, des modèles de clauses contractuelles, ou encore des outils d’audit. Par ailleurs, de nombreux logiciels permettent l’inventaire et la gestion de la conformité RGPD.
Liste de quelques textes et organismes de référence
- RGPD (règlement UE 2016/679)
- Loi Informatique et libertés
- CNIL
- ANSSI
- Conseil d'État
- Ministère de la Transformation et de la Fonction publiques
Voir aussi
- Protection des données personnelles
- Sécurité des systèmes d'information
- CIL
- Responsable de traitement
- Archivage électronique
- Consentement
- Analyse d'impact sur la protection des données
Références
- CNIL. « Le délégué à la protection des données ». Site officiel.
- Ministère de la Transformation et de la Fonction publiques. « Guide pratique du DPO dans la fonction publique ».
- RGPD : règlement UE 2016/679, Parlement européen et Conseil, 2016.