Comment se déroule la désignation d’un DPO ?

Comment se déroule la désignation d’un DPO ?

Le délégué à la protection des données (DPO) est la personne garante au sein d’une organisation du respect de la réglementation sur la protection des données. Elle informe la direction sur le niveau de conformité et les éventuelles actions à entreprendre. La désignation d’un DPO n’est pas toujours obligatoire, mais dans tous les cas fortement conseillée.

Le DPO est-il forcément salarié ?

Le DPO peut être interne ou externe à la structure. La fonction DPO peut également être mutualisée pour un un groupement d’entreprises, une structure avec plusieurs filiales ou pour un groupe de collectivités.

Comment désigner un DPO ?

La déclaration du DPO s’effectue auprès de la CNIL. Il faut pour cela compléter un simple formulaire en ligne. Cette démarche est entièrement gratuite. C’est en principe le responsable légal, la plupart du temps le dirigeant de la société, qui doit remplir le formulaire. En pratique, c’est plutôt le futur DPO qui s’en charge. En cas de mutualisation du DPO il faut veiller à remplir le formulaire pour chaque entité concernée.

La première partie du formulaire consiste tout d’abord à identifier la structure. Il faut ainsi renseigner le numéro SIREN de celle-ci, ou cocher la case prévue dans le cas où il n’y en a pas. Sa dénomination exacte, son adresse, son secteur d’activité et le nombre d’employés doivent également être indiqués. Il faut ensuite saisir l’identité et les coordonnées du responsable légal de la structure, à savoir son nom, son prénom, et son adresse électronique. Les mêmes informations sont demandées pour le contact CNIL qui peut être le responsable légal ou un responsable de service (ex : contrôle interne, responsable juridique…).

La seconde partie vise à identifier le DPO. Il faut indiquer s’il s’agit d’une personne physique, ou morale, puisque le DPO peut aussi être externalisé. Le numéro SIREN suffit dans le cas où le DPO est une personne morale. Si le DPO est une personne physique il faudra donner son identité ainsi que ses coordonnées professionnelles (numéro de téléphone et adresse électronique).

La troisième partie concerne enfin les coordonnées publiques du DPO. Ces coordonnées seront disponibles sur la page Open CNIL du site de la CNIL et la plateforme data.gouv.fr. Il est bien précisé qu’il faut saisir au moins deux moyens de contacts publics dont un électronique parmi : l’adresse internet du formulaire de contact, l’adresse électronique publique du DPO, son numéro de téléphone public ou son adresse postale publique. Ces coordonnées seront par la suite utilisées par les personnes concernées par les traitements pour prendre contact avec le DPO.

Il est parfois possible de désigner un DPO auprès d’une autorité de contrôle étrangère. C’est le cas lorsque l’établissement principal est situé dans un pays tiers de l’Union européenne ou quand des traitements transfrontaliers sont réalisés. Chaque autorité possède son propre dispositif de désignation du DPO.

Que se passe-t-il une fois la déclaration effectuée ?

La CNIL envoie par la suite un récépissé de désignation. Il est transmis par email au DPO et au représentant légal de la structure. On trouve dans ce document la date d’entrée en vigueur de la déclaration, la structure concernée, ainsi que l’identité du DPO et ses coordonnées publiques. La désignation sera effective dès le lendemain de l’envoi du formulaire.

DPO externalisé
Pourquoi externaliser la fonction de DPO ?Le délégué à la protection des données (DPO) assure la conformité RGPD del’organisme pour lequel il travaille. En fonction du contexte, la désignationd’un DPO peut être externalisée. Ce choix assure la disponibilité immédiate d’unDPO qualifié et formé et…

Peut-on modifier par la suite les informations mentionnées dans la déclaration ?

Il est possible de modifier la déclaration en contactant le Service des délégués à la protection des données de la CNIL à l’adresse électronique servicedpo@cnil.fr, ou par courrier au 3 Place de Fontenoy TSA 80715, 75334 PARIS CEDEX 07.

Il est nécessaire de préciser dans ce cas le numéro de désignation (DPO-XXX°) ou le numéro SIREN de l’organisme qui a désigné le DPO.