Le RGPD très bientôt en vigueur
Comme on le sait, le Règlement général sur la protection des données (RGPD) est en passe d'entrer en vigueur d'ici peu : le 25 mai 2018, ce qui donne un délai désormais très court pour les organismes publics et privés de se mettre en conformité, ayant eu au total un délai de deux ans pour ce faire… mais se réveillant pour beaucoup à présent.
Le Cil est mort, vive le DPD !
À partir de cette date, un nouveau personnage clé va entrer en scène, le DPD (pour Délégué à la protection des données, que d'aucuns préfèrent désigner DPO pour faire branché — pour Data protection officer). Cette fonction va remplacer l'ancien Correspondant à la protection des données à caractère personnel, issu de la réforme de 2004 de la loi Informatique, fichiers et libertés, plus simplement nommé Correspondant informatique et libertés ou Cil.
Un espace plus vaste pour le DPD
Là où le Cil n'était que facultatif, le DPD devient obligatoire dans de nombreux cas, notamment au sein de toutes les entités publiques, et dans toutes les entreprises qui traiteront "à grande échelle" des données personnelles, pour résumer rapidement les dispositions des articles 37 à 39 du RGPD.
Son rôle est aussi plus vaste en ce sens que, mécaniquement, le Règlement renforçant significativement la protection des données et le contrôle des risques, le rôle du DPD va se trouver élargi.
Le rôle didactique de la Cnil
La Cnil, dans sa mission permanente de pédagogie, a publié un certain nombre d'articles et de documents autour du RGPD dont nous avons souvent rendu compte, seule ou en relai du fameux G29 (groupe des Cnil européennes).
C'est ainsi qu'on peut trouver sur son site un article intitulé "Devenir délégué à la protection des données" qui explique de manière claire tous les tenants et aboutissants de cette nouvelle fonction, sous forme d'un jeu de questions-réponses derrière lesquelles on devine en filigrane les trois articles du Règlement qui organisent le statut du DPD.
Il est intéressant de signaler ces questions très pratiques :
- Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?
- Quelles différences entre le CIL et le délégué ?
- Qui peut être délégué ?
- Dans quel cas peut-il exister un conflit d’intérêts ?
- Quelle est la responsabilité du délégué à la protection des données ?
- Quelle protection pour le délégué à la protection des données ?
- Où le délégué doit-il être localisé ?
- Quelles sont les missions du délégué à la protection des données ?
- Que signifie coopérer avec l’autorité de contrôle et être le point de contact avec celle-ci ?
- Quels sont les moyens d’action du délégué à la protection des données ?
- Quand et comment désigner un délégué à la protection des données ?
- Comment organiser la fonction de délégué à la protection des données ?
À la suite de cet article simple mais complet, la Cnil met en ligne la version française des "Lignes directrices concernant les délégués à la protection des données (DPD)" du G29 datant de du mois d'avril 2017 dont la lecture est également instructive pour qui veut comprendre non seulement le DPD mais aussi plus largement le Règlement, à partir d'une des pièces maîtresses de ce texte.
En savoir plus
Lire l'article "Devenir Devenir délégué à la protection des données" sur le site de la Cnil :
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
Télécharger directement les Lignes directrices du G29 (pdf, 1,1 Mo, 30 pages)
https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
Voir toutes nos actualités sur le RGPD.
