Lille / Paris / Nice

Comment désigner un Data Protection Officer (DPO) en France ?

Le Règlement général sur la protection des données (RGPD) impose à certaines entités de nommer un Data Protection Officer (DPO). Sur la base des critères définis par la loi, il vous est possible de déterminer si vous avez l’obligation ou non de désigner un DPO. Les entités ne disposant pas d’une telle obligation, la désignation d’un DPO reste une bonne pratique, largement encouragée par les autorités de contrôle en matière de protection des données personnelles (la CNIL en France). Voyons comment procéder à cette désignation.

Nommer son DPO auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés)

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle en France chargée de veiller au bon respect des règlementations applicables en matière de protection des données à caractère personnel. A ce titre, c’est auprès de cette autorité que les entités françaises doivent déclarer leur Data Protection Officer (DPO).

Il n’est à jour pas possible de désigner un DPO auprès d’une autre autorité et/ou d’un autre organisme.


Quelles sont les informations obligatoires permettant la nomination du DPO ?

Afin de procéder efficacement à la nomination de votre Data Protection Officer, il est nécessaire de préparer en amont les pièces nécessaires :

  • informations permettant d’identifier votre structure (numéro SIREN, dénomination sociale, adresse postale, secteur d’activité, etc.) ;
  • les effectifs de votre entité ;
  • les coordonnées du responsable légal de l’organisation (nom, prénom et e-mail) ;
  • les coordonnées de la personne qui sera l’interlocuteur de la CNIL (nom, prénom et e-mail) ;
  • l’identité et les coordonnées privées du Data Protection Officer (nom, prénom, coordonnées téléphoniques, e-mail et adresse postale) ;
  • les coordonnées publiques du Data Protection Officer (2 moyens de contact différents doivent a minima être adressées à la CNIL parmi plusieurs choix : formulaire web, adresse e-mail publique, numéro de téléphone public, adresse postale).


Qui peut procéder à la désignation du DPO ?

La CNIL n’exige pas que la personne réalisant la désignation dispose d’une qualité particulière. Communément, ce sera donc le DPO ou une personne de l’entité concernée qui procédera à la désignation. Lorsque vous avez recours à un DPO externe, ce dernier peut se charger de procéder à sa nomination pour le compte de votre entité.

A noter que le Data Protection Officer désigné peut-être une personne physique ou morale.


Quand procéder à la désignation de votre DPO ?

La nomination d’un DPO peut-être réalisée à tout instant auprès de la CNIL grâce au formulaire suscité. Théoriquement, vous devez procéder à la nomination d’un DPO lorsque :

  • vous procédez à la création d’une entité (entreprise, association, etc.) soumise à l’obligation de nommer un DPO ;
  • vous êtes une entité qui, de par ses nouvelles activités, entre dans les obligations légales de désignation d’un DPO.

Désignation du DPO en ligne

La CNIL a mis en place un formulaire en ligne permettant de faciliter les démarches des entités souhaitant désigner un Data Protection Officer. Ce formulaire, composé de 4 étapes, permet de désigner un DPO sans qu’il soit besoin de procéder à des formalités administratives complémentaires.

La désignation doit être réalisée pour chaque entité concernée. Si vous gérez la conformité d’un groupe d’entreprise, vous devrez donc compléter ce formulaire autant de fois que le nombre d’entités pour lesquelles vous souhaitez désigner un DPO (y compris si vous procédez à la désignation d’un DPO mutualisé). Le processus peut donc s’avérer chronophage et sans grand intérêt. Si vous disposez d’un grand nombre de désignation à effectuer, nous vous préconisons de directement prendre contact avec la CNIL afin d’étudier avec l’autorité des modalités plus souples. La CNIL peut en effet accepter de recevoir, dans certaines situations, des fichiers (de type Excel) comportant l’ensemble des informations adéquates et permettant la désignation de plusieurs dizaines d’entités simultanément.


Comment obtenir confirmation de la désignation du Data Protection Officer ?

Afin d’être en mesure de prouver des démarches que vous avez réalisé aux fins de désigner un DPO (et ainsi de prouver dans certaines circonstances le respect de vos obligations légales en la matière), la CNIL émet un récépissé de désignation. Ce document sera directement transmis par e-mail au DPO ainsi qu’au représentant légal de l’entité concernée. Il est donc essentiel de fournir des coordonnées valides lors de la désignation du DPO auprès de la CNIL.

Ce récépissé intègre notamment la date à laquelle la désignation entre en vigueur, l’entité concernée, le DPO désigné ainsi que ses coordonnées publiques.

Ce document peut-être présenté à des tiers afin de leur démontrer les démarches accomplies par votre entité pour vous conformer aux dispositions du Règlement général sur la protection des données.


Fournir les coordonnées publiques du DPO lors de la désignation est-il obligatoire ?

Oui. La CNIL fait une interprétation stricte de l’article 37 du RGPD qui dispose :

Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Sur la base de cet article, la CNIL considère que la publication des coordonnées du DPO doit être rendue publique. En conséquence, la CNIL tient un registre des coordonnées publiques de l’ensemble des DPO désignés auprès d’elle. Cet annuaire des Data Protection Officer fera prochainement l’objet d’une mise à disposition au public en opendata par l’autorité française.

Fournir des coordonnées publiques permettant de prendre contact avec le DPO nécessite la mise en œuvre de réels processus de gestion. Il est en effet impératif que l’entité ayant nommé un DPO soit en mesure de répondre aux demandes arrivant sur ces points de contact public de manière précise et correcte. Pour les entités susceptibles de recevoir de nombreuses demandes, il est conseillé de fournir des coordonnées génériques qui peuvent être gérées par des équipes dédiées. Pour les entités moins exposées, les coordonnées directes du DPO pourront être insérées. Via ces coordonnées, l’entité sera en effet susceptible de recevoir des demandes de type :

  • requête de personnes dont l’entité traité les données personnelles (demandes de droit d’accès, rectification, portabilité, etc.) ;
  • demandes émanant de partenaires de l’entité (exemple : demandes émanant d’un client et souhaitant disposer de garanties quant au traitement de ses données personnelles) ;
  • réclamations / plaintes émanant de personnes insatisfaites ;
  • demandes d’informations diverses relatives à la protection des données provenant de clients de l’entreprise et/ou de futurs clients ;
  • demandes n’ayant aucun lien avec la protection des données (il faut aussi savoir gérer de telles demandes!).

La gestion de ces demandes suppose la mise en place de procédures partagées au sein de l’entité, un suivi des réponses apportées ainsi que la formation des personnels chargés du traitement des requêtes.


Nommer son DPO auprès d’une autorité de contrôle étrangère

Dans certaines circonstances, vous pouvez être amené à déclarer un DPO auprès d’une autorité de contrôle étrangère, et non auprès de la CNIL. C’est notamment le cas lorsque votre entité réalise des traitements transfrontaliers et que son établissement principal n’est pas localisé en France, mais dans un autre pays membre de l’Union Européenne. Dans ce cas précis, vous pouvez être amené à déclarer une autorité de contrôle étrangère comme autorité dite “chef de file“. Cette autorité sera dès lors votre seul interlocuteur pour exécuter vos obligations règlementaires, dont la nomination d’un Data Protection Officer.

Les procédures de nomination ne sont à ce jour pas uniformisées entre les différentes autorités de protection des données en Europe. Chaque autorité dispose donc de son propre mécanisme de désignation de DPO auquel il faut s’adapter.