DPO : la Cnil publie un guide pratique

Forte de trois années de retours divers et variés, la Cnil a élaboré un guide à destination des entreprises, administrations et collectivités, quant au DPO, son rôle, ses missions ou encore sa désignation.

On compte aujourd’hui en France près de 30 000 DPO, ou Data Protection Officer, délégué à la protection des données personnelles en bon français. Quelque 80 000 organisations, dont 26 000 dans le public, en ont désigné un à ce jour. On est bien loin des 18 000 organismes dotés de CIL dans la période pré-RGPD. Et c’est justement pour poursuivre sur cette lancée que la Cnil vient de publier un guide relatif au DPO.

Ce document de 56 pages s’adresse moins aux délégués qu’aux entreprises et aux collectivités qui les désignent (ce qui ne signifie par pour autant que les DPO doivent faire l’impasse sur la lecture de ce guide, bien au contraire). Le guide, profitant de trois années d’accompagnement des DPO par la Cnil s’articule autour de quatre chapitres sur le rôle du DPO, sa désignation, l’exercice de ses missions et son accompagnement par le gendarme des données personnelles.

Guide pratique

Ces différentes thématiques sont assorties de cas concrets et de FAQ et le guide s’achève sur des outils pratiques, dont un modèle de lettre de mission remise par l’organisme au DPO lors de sa prise de fonction et le formulaire de désignation du DPO.« La CNIL a été particulièrement vigilante à apporter des éléments clairs sur la manière de s'assurer que le DPO peut effectuer ses missions en toute indépendance, sans conflit d'intérêt et avec une réelle efficacité pour l'organisme » écrit le régulateur.

Car rappelons à toutes fins utiles que si la désignation d’un DPO est, sous certaines conditions, une obligation pour des organisations traitant des données sensibles ou personnelles à grande échelle, le RGPD s’assortit d’autres exigences en la matière. Notamment de critères de désignation, de capacité du DPO à exercer ses missions ou encore de risques de conflit d’intérêt. Autant d’obligation que la Cnil peut contrôler.