Archives

RGPD : un guide de la Cnil pour relancer la désignation des délégués à la protection des données

La désignation d’un délégué à la protection des données – ou DPO en anglais – fait partie des obligations du RGPD. La Cnil vient de publier un guide d’une cinquantaine de pages sur les "bonnes pratiques" pour désigner un DPO et "accompagner" les quelque 30.000 DPO déjà désignés. Seulement 80.000 organismes auraient aujourd’hui un DPO, avec une surreprésentation des (grandes) administrations, de l’enseignement et de la santé. Le DPO, rappelle la Cnil, n’est "pas responsable de la conformité de l’organisme, mais un rouage essentiel, capable d’allier expertise et conseil à toutes les étapes des projets impliquant l’utilisation de données personnelles". Le guide fait apparaitre, s’il y avait encore un doute, que toutes les collectivités quelle que soit leur taille sont concernées, les organismes chargés d’une mission de service public étant pour leur part "vivement incités" à en désigner un. La Cnil insiste sur la nécessaire indépendance du DPO, qui ne peut être ni un élu, ni un secrétaire de mairie, ni un responsable de la sécurité des systèmes d’information si celui-ci est décisionnaire sur le choix des applications traitant de données personnelles. La Cnil explicite les possibilités de mutualisation ou d’externalisation du DPO, la mutualisation devant passer par une convention entre l’organisme hébergeant le DPO et la commune. La désignation d’un DPO doit être déclarée à la Cnil sur un formulaire en ligne mais aucune délibération n’est nécessaire. Enfin la Cnil signale la création prochaine d’un Mooc RGPD dédié aux collectivités.