Nous contacter.
07 81 41 17 25

Désignation du DPO : comment ça marche ?

Publié le 27 octobre 2021



Vous faites parties des organisations qui ont l’obligation de désigner un DPO ? Avant même de procéder à sa déclaration en ligne, il est impératif de vérifier et de statuer sur LA personne compétente, qui saura mettre en œuvre les moyens nécessaires pour votre mise en conformité RGPD.

Retrouvez les conseils de votre cabinet AP3R pour la désignation de votre DPO.



Désignation de son DPO : choisir une personne compétente

Désignation du DPO : comment ça marche ?

La CNIL laisse le choix aux organisations qui en ont l’obligation de qui peut être le DPO. Elles peuvent le nommer :

  • de manière interne
  • ou de faire appel à un DPO externe tel que AP3R

 

Et elle ne définit aucune règle obligatoire pour nommer son DPO. Toutefois, la CNIL invite tout organisme à s’assurer que le délégué de la protection des données choisi respecte 3 conditions nécessaires à l’exercice de ses missions.

Les compétences du DPO

Le DPO doit détenir les compétences requises en matière de protection des données à caractère personnel. Son expertise juridique et technique est primordiale.

En parallèle, il doit posséder une bonne connaissance de l’organisation de l’entreprise, du traitement des données et de ses besoins en matière de protection des données.

Les moyens dont dispose le DPO

Il doit disposer :

  • du temps suffisant pour exercer ses missions
  • des moyens matériels et humains adaptés
  • d’un accès à toutes informations nécessaires à sa mission
  • de toutes informations impliquant des données personnelles

 

Il doit également être joignable par toute personne concernée : responsable du traitement, collaborateurs, CNIL etc.

La transparence du délégué de la protection des données

Enfin, le DPO doit agir en toute indépendance, sans conflit d’intérêts. Ses missions relatives à sa fonction de DPO ne doivent en aucun cas entrer en conflit avec ses autres fonctions, notamment dans le cadre d’un DPO interne.

D’ailleurs, il ne peut recevoir d’instruction dans le cadre de ses missions RGPD. C’est à lui seul de définir son cadre d’intervention. Il doit cependant rendre compte de ses actions à la plus haute instance de l’organisme dans laquelle il intervient.

À noter que le DPO RGPD ne peut être tenu responsable en cas de non-conformité détectée par la CNIL. C’est au responsable de traitement de mettre en place les actions recommandées.





Auprès de qui doit-on réaliser sa désignation de DPO ?

Désignation du DPO : comment ça marche ?

En France, un seul organisme est habilité à enregistrer les désignations de DPO, il s’agit de la CNIL.

Dans le cas où votre établissement principal est établi dans un autre état membre de l’Union Européenne, vous devrez alors effectuer la désignation de votre DPO auprès d’une autorité de contrôle étrangère.

Quand doit-on désigner son DPO auprès de l’organisme de contrôle ?

Il existe 3 possibilités différentes pour déclarer votre DPO au bon moment :

  • Vous êtes soumis à une obligation de déclaration :
    Dans ce cas, la désignation devrait déjà être faite. Dans le cas contraire, celle-ci devra être réalisée au plus vite. En effet, sans DPO vous ne rentrez pas en conformité RGPD et risquez de lourdes sanctions en cas de contrôle.
  • Vous ne disposez d’aucune obligation de désignation :
    Dans cette situation la nomination du DPO reste facultative. Elle est toutefois vivement conseillée par la CNIL car faisant partie des bonnes pratiques. Elle vous permettra de démontrer votre bonne foi et renforcer la confiance de vos employés et clients.
  • Votre activité évolue :
    Dès lors que votre organisation évolue et entre dans le cadre d’obligation de nomination d’un DPO, il faut impérativement mettre en place les actions qui en découlent. Ainsi la déclaration du DPO doit se faire en même temps que la mise en place de la nouvelle activité.

 

Comment désigner son DPO auprès de la CNIL ?

Pour permettre aux organismes de désigner leur DPO, la CNIL a mis en place un formulaire en ligne dans lequel plusieurs informations doivent être renseignées :

  • Informations relatives à l’entreprise : domaine d’activité, numéro de SIREN, adresse, coordonnées du responsable légal
  • Coordonnées privées du DPO : nom, prénom, adresse, numéro de téléphone, mail.
  • Coordonnées publiques du DPO : c’est-à-dire celles qui seront accessibles auprès de tous depuis les mentions obligatoires RGPD.

 

Si le formulaire peut être rempli par un responsable de l’entreprise, il peut également l’être par le DPO lui-même. C’est d’ailleurs le cas lorsque vous faîtes appel à un DPO externe tel que le Cabinet AP3R par exemple.

Besoin d’un DPO ? D’être assisté lors de votre déclaration auprès de la CNIL ?
Contactez AP3R Consulting afin que l’on échange sur votre projet et vos besoins.