Les fonctions de DPO à l’aune des dernières recommandations de la CNIL
Le 16 novembre 2021, la CNIL a publié un guide pratique sur la fonction de délégué à la protection des données (DPO). Elle y détaille son rôle, les conditions relatives à sa désignation ainsi que les conditions dans lesquelles il doit exercer ses missions. L’occasion de faire le point sur cette fonction centrale pour le pilotage de la conformité au RGPD.
En application du RGPD, la désignation d’un DPO est obligatoire pour (i) les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) (ii) les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle (iii) les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
S’il n’existe, en droit français, aucun autre cas dans lequel la désignation d’un DPO est obligatoire, la CNIL recommande cependant qu’un DPO soit plus généralement désigné dès que l’organisme rencontre des problématiques relatives à la protection des données personnelles. Attention néanmoins, dès lors qu’une entreprise décide de nommer un DPO sur une base volontaire, l’ensemble des règles applicables à sa désignation et à l’exercice de ses missions trouveront à s’appliquer et l’organisme qui ne les respecterait pas, pourra se voir sanctionné.
Le DPO groupe : intérêts et contraintes
Il est courant qu’un DPO commun soit désigné pour l’ensemble des sociétés d’un même groupe. La CNIL reconnait que cette mutualisation de la fonction de DPO est possible, mais attire également l’attention des organisations sur les risques qu’une telle désignation présente.
Comme le relève la CNIL, cela permet d’assurer une cohérence dans le pilotage de la conformité au sein du groupe et de partager les coûts liés à la désignation et aux fonctions du délégué.
Par ailleurs, l’activité de la personne désignée sera bien souvent entièrement concentrée sur les fonctions de DPO, ce qui, en principe, limitera les risques de conflits d’intérêt et contribuera à ériger le DPO en expert en la matière au sein de l’organisation.
Toutefois, il convient de veiller à organiser des points d’échange réguliers avec les équipes métiers, afin d’éviter que le DPO n’ait qu’une vision superficielle des activités conduites et qu’il soit insuffisamment tenu informé des sujets liés à la protection des données personnelles.
Le DPO doit par ailleurs toujours être en mesure d’assurer son rôle de point de contact avec les autorités de contrôle et les personnes concernées, ce qui suppose qu’il puisse communiquer efficacement avec elles et dans leur langue. Il est donc important de s’assurer que le DPO soit entouré dans l’exercice de ses fonctions avec, le cas échéant, des relais locaux.
Enfin, l’ensemble des sociétés du groupe devront procéder à la désignation du DPO auprès des autorités de contrôle compétentes. En cas de traitements transfrontaliers, les entités concernées pourront se contenter de procéder à cette désignation auprès de l’autorité chef de file.