Transcription of Guide pratique RGPD - Délégués à la protection des données
1 FrGUIDE PRATIQUERGPDD L GU S LA protection DES DONN ESL objectif de ce Guide est d accompagner la fois les organismes dans la mise en place de la fonction de d l gu la protection des donn es et ces d l gu s dans l exercice de leur m tier. Ce Guide est un outil vivant qui sera enrichi des bonnes pratiques remont es par les professionnels aupr s de la Commission Nationale de l Informatique et des Libert SONT LES MISSIONS DE LA CNIL ?LE R LE DU DPOC onseiller et accompagner l organismeContr ler l effectivit des r gles tre le point de contact de l organisme sur les sujets RGPDA ssurer la documentation des traitements de donn esLA D SIGNATION DU DPOF iche 1 : Dans quels cas faut-il d signer un DPO ?Fiche 2 : Qui peut tre d sign DPO ?Fiche 3 : DPO interne ou externe ? Comment mutualiser la fonction ?Fiche 4 : Comment d signer un DPO ? L EXERCICE DE LA FONCTION DE DPOF iche 5 : Quels moyens doivent tre attribu s au DPO ?
2 Fiche 6 : Quel est le statut du DPO ?Fiche 7 : Que faire en cas de d part, de cong s ou de remplacement du DPO ? COMMENT LA CNIL ACCOMPAGNE-T-ELLE LES DPO ? Les outils pour se formerLes outils pour trouver une r ponseLes outils d aide la mise en conformit FOIRE AUX QUESTIONS Je recherche un DPO pour mon organisme, comment faire ? Qu apporte la d signation d un DPO si mon organisme a d j un service juridique comp tent en mati re de protection des donn es ?O le DPO doit-il tre localis ?Quelle langue doit parler le DPO ?Le titre de d l gu la protection des donn es DPO DPD est-il r serv aux personnes d sign es aupr s de la CNIL ?Pourquoi la CNIL utilise-t-elle l abr viation DPO plut t que DPD ?Comment un DPO peut-il se former ? ANNEXES Annexe n 1 : Les questions cl s se poser lors de la d signation d un DPO Annexe n 2 : Mod le de lettre de mission remise par l organisme au DPO lors de sa prise de fonctionAnnexe n 3 : Le formulaire de d signation du DPOA nnexe n 4 : Glossaire2 AVANT-PROPOSLe m tier de d l gu la protection des don-n es ( DPD , ou DPO dans ce Guide ) est devenu essentiel depuis l entr e en application du r glement europ en sur la protection des donn es (RGPD) le 25 mai 2018.
3 Ce r glement, qui harmonise au niveau europ en des obliga-tions autrefois nationales, concerne les orga-nismes dans toutes leurs activit s : gestion des ressources humaines, prospection, relations avec la client le ou les usagers, etc. D sormais, le traitement de donn es personnelles est une composante fondamentale de la plupart des secteurs d activit .Il est ainsi naturel que le RGPD consacre trois de ses articles d finir les contours de la profes-sion charg e de conseiller les responsables de traitement sur la protection de ces donn es. D s lors, le DPO prend une importance qualitative et quantitative nouvelle par rapport son pr -d cesseur en France, le correspondant Informa-tique et Libert s (CIL).L volution est qualitative, tout d abord : l esprit du r glement est de faire du DPO le chef d or-chestre de la gestion des donn es personnelles dans l organisme qui le d signe.
4 Le positionne-ment hi rarchique du DPO doit en t moigner, et ses ressources doivent tre adapt es, afin qu il puisse accomplir pleinement son m tier et son r le de pilote de la conformit . Il ne doit pas tra-vailler en vase clos, mais tre pleinement int gr aux activit s op rationnelles de son organisme. Il est un maillon essentiel de la gouvernance de la donn e, en lien avec le RSSI (responsable de la s curit des syst mes d information) et la DSI (direction des syst mes d information). Le m tier de DPO s est galement transform d un point de vue quantitatif. Le nombre de DPO a en effet consid rablement augment , du fait de l obligation de d signation laquelle sont soumis de nombreux organismes. Ainsi, alors que 18 000 organismes s taient dot s d un CIL, plus de 80 000 organismes avaient d sign un DPO en 2021, dont 26 000 dans le public.
5 Pleinement consciente de cette volution, la CNIL a adapt sa strat gie d accompagnement des DPO, principalement en l orientant sur le d veloppement et le soutien de r seaux de d -l gu s. Organis s par secteurs ou par r gions, ceux-ci r pondent un premier niveau de ques-tions du terrain, la CNIL n intervenant que dans un second temps avec ces repr sentants et f -d rations. En compl ment de la page d di e au DPO dis-ponible sur le site web de la CNIL, ce Guide a pour objectif d accompagner la fois les orga-nismes dans la mise en place de la fonction de d l gu la protection des donn es et les DPO dans l exercice de leurs missions. Le Guide du DPO s articule en 4 chapitres : le r le du DPO ; la d signation du DPO ; l exercice des missions du DPO ; l accompagnement du DPO par la th matique est illustr e par des cas concrets et les questions fr quentes en lien avec le sujet trait.
6 Le lecteur peut galement s appuyer sur une FAQ et des outils pratiques , comme la lettre de mission. Ce Guide , dont la r daction b n ficie de trois ans de pratique d accompagnement des DPO, vous fournira les clefs pour tirer parti au mieux de la pr sence d un d l gu , tre recrut en tant que DPO ou plus g n ralement faire voluer votre conformit . 3 QUELLES SONT LES MISSIONS DE LA CNIL ?En France, la Commission nationale de l informatique et des libert s (CNIL) est l autorit charg e de veiller la protection des donn es personnelles. Elle poursuit quatre principales missions :POUR ALLER PLUS LOINSur : Les missions de la CNIL Statut et organisation de la et prot ger les droitsLa CNIL r pond aux demandes des particu-liers et des professionnels. Elle m ne des actions de communication aupr s du grand public et des professionnels que ce soit travers ses r seaux, la presse, son site web, sa pr sence sur les r seaux sociaux ou en mettant disposition des outils p personne peut s adresser la CNIL en cas de difficult dans l exercice de ses et innoverPour d tecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie priv e, la CNIL assure une veille d di contribue au d veloppement de solutions technologiques protectrices de la vie priv e en conseillant les entreprises le plus en amont possible, dans une logique de privacy by la conformit et conseillerAfin d aider les organismes priv s et publics se conformer au RGPD.
7 La CNIL propose une bo te outils compl te et adapt e en fonction de leur taille et de leurs besoins. La CNIL veille la recherche de solutions leur permettant de poursuivre leurs ob-jectifs l gitimes dans le strict respect des droits et libert s des leret sanctionnerLe contr le permet la CNIL de v rifier la mise en uvre concr te de la loi. Elle peut imposer un acteur de r gulariser son trai-tement (mise en demeure) ou prononcer des sanctions (amende, etc.).4LE R LE DU DPO Le RGPD place le DPO en acteur cl du syst me de gouvernance des donn es personnelles. En effet, les missions qui lui sont attribu es consacrent son r le de pilote de la d marche de mise en confor-mit permanente et dynamique dans laquelle les organismes doivent s inscrire. FOCUS : LES TEXTES D FINISSANT LA FONCTION DE DPOLa fonction de DPO est r glement e et d finie avec pr cision dans les articles 37 39 du RGPD.
8 Ce Guide s appuie sur ce r glement, la loi Informatique et Libert s et son d cret d application, ainsi que les lignes directrices sur le DPO du Comit europ en de la protection des donn es (CEPD). la fin de chaque par-tie, un renvoi vers les passages pertinents de ces textes sont indiqu s. Conseiller et accompagner l organismeLe DPO a un r le de conseil et d accompagnement plusieurs niveaux : il apporte son expertise aupr s de la direction afin que celle-ci puisse assurer la conformit des traitements ; il diffuse la culture et les r gles de la protection des donn es aupr s de toutes les personnes qui traitent des donn es personnelles au sein de l organisme. Le DPO peut ainsi identifier et formaliser les moments clefs l occasion desquels il souhaite que son intervention ou sa pr sence soit syst matique, par exemple pour chaque : projet de d cision de cr ation ou d volution d un traitement existant (afin notamment de veiller au respect des principes de protection des donn es d s la conception et par d faut) ; examen de la n cessit de r aliser une analyse d impact relative la protection des donn es (AIPD) et r alisation effective de celle-ci ; r daction ou tenue du registre des activit s de traitement ; r daction et mise jour des r gles ou politiques internes en mati re de protection des donn es ; violation de donn es personnelles, afin de conseiller sur les mesures prendre ainsi que sur la notification l autorit et aux personnes concern es.
9 Le DPO sensibilise et accompagne les acteurs impliqu s au sein de chaque service traitant des donn es : en veillant l adoption par tous d une culture protection des donn es personnelles (par 5exemple via des formations internes sur les grands principes de la protection des donn es) ; en proc dant des actions de communication et de sensibilisation sur des sujets pertinents pour l organisme (utilisation d affiches et guides pratiques accessibles depuis l intranet, rappel des r gles de s curit l occasion d une sanction ou d une violation de donn es cit e dans les m dias, fausses campagnes de phishing but ducatif, etc.) ; en se pr sentant comme l interlocuteur interne r f rent pour toute question en mati re de pro-tection des donn es, et si n cessaire au moyen de personnes DPO a donc avant tout une mission d information, de conseil et de contr le.
10 Il n est pas res-ponsable de la conformit de l organisme, de la tenue du registre, de la r alisation des analyses d impacts ou des notifications de violations de donn es. Il est cependant en position d en tre un acteur clef dont les comp tences seront tr s utiles au responsable de l organisme pour l aider se conformer ses : LE PILOTAGE DE LA CONFORMIT PAR LE DPOV eiller la conformit au RGPD est une d marche active qui consiste anticiper et organiser les inter-ventions du DPO au sein de l organisme. Les d marches mettre en place peuvent par exemple tre les suivantes : formaliser les cas de consultation du DPO ; mettre en place, aupr s des directions concern es un comit RGPD charg d arbitrer et d orienter les actions concernant les traitements de donn es ; tre associ l laboration et la mise jour des documents de gouvernance (politique de s curit du syst me d information, charte informatique, livret d accueil, r glement int rieur, etc.)