Devenir délégué à la protection des données | CNIL
Comment devenir délégué à la protection des données (DPD ou DPO) |
Le délégué à la protection des données (D.P.D.) ou Data Protection Officer (D.P.O.) est au cœur du nouveau règlement européen. Les lignes directrices adoptées le 13 décembre 2016 par le G29, groupe des « CNIL » européennes, clarifient et illustrent d’exemples concrets le nouveau cadre juridique applicable en mai 2018 dans toute l’Europe.
Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du délégué, sous peine de sanctions.
Les lignes directrices du G29 ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions. Elles contiennent des recommandations et des bonnes pratiques permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations avec flexibilité et pragmatisme.
A retenir Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné. Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.
Pour garantir l’effectivité de ses missions, le délégué :
La mise en place de la fonction de délégué nécessite d’être anticipée et organisée dès aujourd’hui, afin d’être prêt en mai 2018. Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?La désignation d’un délégué est obligatoire pour :
En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle. Les lignes directrices du G29 clarifient les critères posés par le règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique. Qui peut être délégué à la protection des données ?Le délégué est désigné sur la base de ses qualités professionnelles et de sa capacité à accomplir ses missions. Le délégué doit posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données. Une connaissance du secteur d’activité et de l’organisme pour lequel il est désigné est également recommandée. Il doit enfin disposer de qualités personnelles, et d’un positionnement lui donnant la capacité d’exercer ses missions en toute indépendance. Les lignes directrices du G29 précisent le niveau d’expertise, les qualités professionnelles et les capacités du délégué. Les personnes désignées en tant que correspondant Informatique et Libertés (CIL) ont vocation à devenir délégués à la protection des données en 2018. Toutefois, la qualité de CIL n’ouvrira pas automatiquement droit à celle de délégué à la protection des données. Les organismes ayant désigné un CIL indiqueront à la CNIL en 2018 si leur CIL deviendra délégué à la protection des données, selon des modalités précisées ultérieurement. Quelles sont les missions du délégué à la protection des données ?« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
Les lignes directrices détaillent le rôle du délégué en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement. Elles indiquent que le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement. Quels sont les moyens d’action du délégué à la protection des données ?Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme. S’agissant du conflit d’intérêts, le délégué ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (ne pas être juge et partie). L’existence d’un conflit d’intérêt est appréciée au cas par cas. Les lignes directrices indiquent les fonctions qui, en règle générale, sont susceptibles de conduire à une situation de conflit d’intérêts. Comment organiser la fonction de délégué à la protection des données ?En vue de la préparation à la fonction de délégué, il est recommandé de :
Lignes directrices du G29
La version française de ces documents sera disponible début 2017. Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
|
Original de l’article mis en page : Devenir délégué à la protection des données | CNIL