Quel est le rôle du DPO ? Comment le désigner ? Quel est son statut ? Que faire en cas de départ ou de son remplacement ? Quels outils de formation et de mise en conformité adopter ? Autant de questions auxquelles la CNIL répond dans un dernier guide pratique. Publié à l'attention des organisations pour les aider à mettre en place la fonction de DPO (ou DPD pour délégué à la protection des données) mais aussi accompagner ces derniers dans l’exercice de leur métier, cet ouvrage synthétique est articulé autour de fiches pratiques. Après avoir brièvement présenté ses missions (informer et protéger les droits, accompagner la conformité et conseiller, anticiper et innover, contrôler et sanctionner), et indiqué que plus de 80 000 organismes ont désigné un DPO en 2021 (dont 26 000 dans le public, la Cnil entre rapidement dans le vif du sujet. Le guide est découpé en 4 sections : rôle, désignation, exercice de la fonction et l'accompagnement par la Cnil.

« Le DPO n’est pas responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impacts ou des notifications de violations de données. Il est cependant en position d’en être un acteur clef dont les compétences seront très utiles au responsable de l’organisme pour l’aider à se conformer à ses obligations », rappelle la commission informatique et libertés. « Le DPO n’est pas personnellement responsable en cas de manquement aux obligations prévues par le RGPD. C’est l’organisme qui est responsable du respect du RGPD. Il est impossible de transférer au délégué, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant ».

Un DPO impartial et indépendant qui doit disposer de ressources nécessaires pour ses missions

Concernant la désignation, la Cnil revient aussi sur le fait qu'elle est obligatoire pour les organismes publics (enseignement supérieur, hôpitaux...), ceux amenés à réaliser un suivi régulier et systématique de personnes à grande échelle ainsi que ceux amenés à traiter à grande échelle des données sensibles. En termes de profil, le délégué à la protection des données n'a pas nécessairement à justifier d'un diplôme particulier pour occuper cette fonction mais doit disposer des compétences et connaissances adéquates pour exercer ses missions. « Un responsable de la sécurité des systèmes d’information peut être désigné DPO s’il ne dispose pas, en tant que RSSI, d’un pouvoir décisionnel dans la détermination des finalités et des moyens des traitements de données personnelles mis en œuvre par sa structure », rappelle la Cnil. En tout état de cause, il devra faire preuve d'impartialité objective (le DPO n’est pas juge et partie car il n’est pas amené à contrôler ce qu’il a lui-même décidé, seul ou conjointement) et subjective (le DPO est à l’abri d’influences guidées par des intérêts divergents, de nature à altérer la liberté de ses positionnements).

Dans le cadre de l'exercice de sa fonction, le DPO doit pouvoir compter sur son employeur pour lui assurer les ressources nécessaires à la réalisation de ses tâches (temps nécessaire, accès à des ressources financières, collaborateurs s’il en a le besoin). Tout en lui facilitant l’accès aux données et aux opérations de traitement et en lui laissant le temps d'entretenir ses connaissances spécialisées. En outre, il doit assurer ses missions en toute indépendance et à ce titre, ne doit pas recevoir d'instruction sur la manière de traiter un sujet et d'instruire une réclamation, ni faire l'objet d'une sanction ou d'un licenciement lié à ses missions. En cas de départ, de congés ou de remplacement du DPO, l'organisation doit mettre à jour les procédures pour assurer le suivi et la reprise des dossiers en cours et s’assurer que les mentions d’information doivent comporter ses coordonnées. « Si le DPO absent est officiellement remplacé par un autre DPO le temps de son absence, une nouvelle désignation est alors requise auprès de la Cnil », précise la commission.

Des outils de mise en conformité facilement accessibles

Pour accompagner les délégués à la protection des données, la Cnil propose une batterie d'outils incluant des informations sur sur site, des ateliers et webinairs ou encore une formation en ligne gratuite. En outre une permanence téléphonique est aussi mise en place (lundi, mardi, jeudi et vendredi entre 10h-12h au 01 53 73 22 22). Pour ce qui concerne la mise en conformité, la commission propose un modèle de registre simplifié, un outil de conduite et de formalisation d'analyses d'impact relatives à la protection des données (AIPD) ainsi que des listes de traitements pour lesquels une AIPD est (ou pas) requise. Des packs de conformité sectoriels sont aussi poussés.

Outre la Cnil, l'association française des correspondants à la protection des données à caractère personnel (AFCDP) fourmille également d'études, fiches pratiques, enquête, observatoire... sur le métier, la formation, ou encore la déontologie des DPO ainsi qu'un job board.