Comment déclarer son DPO à la CNIL
Déclaration DPO CNIL : le mode d’emploi pour déclarer son DPO
Le Data Protection Officer (DPO) ou délégué à la protection des données (DPD) joue un rôle central dans la protection des données personnelles. La CNIL le qualifie même de chef d’orchestre du RGPD ! Le DPO est essentiel pour assurer la conformité au règlement européen sur la protection des données (RGPD).
Le DPO est chargé de piloter et de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné. À ce titre, il est l’intermédiaire privilégié de la CNIL et des personnes concernées par les traitements.
Un délégué à la protection des données est obligatoirement désigné dans 3 cas :
- L’organisme est un établissement public : commune, administration, enseignement, hôpitaux etc. ;
- L’organisme opère des traitements de données personnelles réguliers à grande échelle ;
- L’organisme opère des traitements à grande échelle :
- de données sensibles (article 9 RGPD) ;
- ou relatives à des condamnations pénales et infractions (article 10 RGPD).
Cependant, désigner un délégué à la protection des données est toujours une bonne idée !
Vous avez désigné un DPO ? Maintenant, vous devez obligatoirement en informer la CNIL.
Dans ce guide, nous verrons :
- Qui peut-être désigné DPO ?
- Pourquoi déclarer son DPO à la CNIL ?
- Comment le déclarer à la CNIL ?
Pour en savoir plus sur le rôle de DPO, consultez notre guide dédié aux missions du DPO.
1- Qui peut être désigné DPO ?
Principe : une désignation libre
En principe, il n’existe aucun prérequis pour devenir DPO, ni en termes de diplôme ni de champ d’expertise. N’importe qui peut être désigné DPO. Le DPO doit veiller au respect des droits des personnes concernées par le traitement des données personnelles.
Le délégué à la protection des données peut être interne ou externe, c’est-à-dire être désigné parmi les salariés de l’entreprise ou parmi des tiers à l’entreprise.
Si vous choisissez de nommer un DPO interne, veillez toutefois à désigner une personne formée aux enjeux de la protection des données personnelles. De nombreuses formations DPO, dont certaines validées par la CNIL, sont idéales pour former vos futurs délégués.
Vous pouvez également désigner un DPO externe, par exemple un avocat spécialisé RGPD.
Limite : Le conflit d'intérêt
La seule condition à la désignation d’un DPO réside dans l’absence de conflit d'intérêt.
Le délégué à la protection des données ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitements. Les missions de DPO est incompatible avec des fonctions de dirigeants ou décisionnaires.
Cela signifie qu’en interne, le DPO ne peut pas être désigné parmi des chefs de départements : directeur marketing, DRH, DSI, CTO, CEO etc.
Si vous choisissez un DPO externe, faites attention également au conflit d'intérêt. Par exemple, il arrive que les avocats occupent des fonctions de DPO pour leurs clients. Dans ce cas, ils ne peuvent pas cumuler cette fonction avec celle de représentant ou de conseil au titre des fonctions d’avocat.
2- Pourquoi déclarer un DPO à la CNIL ?
Le DPO est l**’interlocuteur privilégié de la CNIL.** A ce titre, il doit coopérer avec ses agents en divers occasions, notamment en cas de :
- Contrôle sur place : le DPO est l’interlocuteur privilégié de la CNIL en cas de contrôle. Il est notamment chargé de la relecture et de la signature du procès-verbal dressé à l’issue des vérifications.
- Audition sur convocation : lorsque les représentants d’un organisme sont invités à répondre aux questions des agents dans les locaux de la CNIL, le DPO peut se présenter pour accompagner le responsable de traitement. Il apporte son expertise.
De plus, le délégué a un accès privilégié à la CNIL. Il peut consulter l’autorité sur toutes les questions relatives à la protection des données personnelles ou à ses missions. D’ailleurs, lorsque la désignation d’un DPO est obligatoire dans l’organisme, la CNIL ne répond pas aux questions du responsable de traitement si le DPO n’a pas été d’abord consulté. Les entreprises peuvent avoir des questions sur la désignation de leur DPO et il est important de se tourner vers les bonnes autorités pour clarifier les procédures.
Au titre de cette relation privilégiée, dès lors qu’un DPO est désigné, cette désignation doit être portée à la connaissance de la CNIL. Que la désignation soit obligatoire ou non.
3- Déclarer son DPO à la CNIL en 4 étapes
Vous devez obligatoirement informer la CNIL de la désignation du délégué.
La désignation du DPO auprès de la CNIL ne se fait qu’en ligne via le téléservice dédié. Pour ce faire, vous devrez remplir un formulaire de désignation en ligne :
>>>>>>>>>> Désigner mon DPO.
Le formulaire de désignation peut être complété par le représentant légal de l’organisme qui désigne le DPO (ou par la personne mandatée par le représentant légal pour le faire).
⚠️N’envoyez pas de courrier postal, il ne sera pas traité.
Voici la marche à suivre pour remplir ce formulaire de désignation d’un DPO, étape par étape :
- Informations sur l’organisme qui désigne un DPO ;
- Informations sur le délégué désigné ;
- Informations publiques du délégué ;
- Récapitulatif et envoi à la CNIL.
Vous allez voir, c’est simple !
Étape n°1 : informations sur l’organisme désignant le DPO
Vous devez indiquer votre numéro de SIREN. Une fois cette information renseignée, toutes les informations concernant l’organisme apparaissent automatiquement. Le DPO agit comme un chef d'orchestre pour piloter la conformité au RGPD au sein de l'organisme. Elles proviennent directement du répertoire SIRENE de l’Insee.
⚠️ Ces informations ne peuvent pas être modifiées. Ainsi, si certaines données sont fausses, vous devez contacter directement l’Insee sur leur site -> rubrique « immatriculer une entreprise, modifier sa situation ou déclarer sa cessation »). Les informations seront mises à jour.
Si votre organisme ne dispose pas de numéro SIREN, cochez cette case :
Il vous faudra renseigner manuellement les informations concernant votre entreprise.
📝A propos du champ « Contact CNIL » : n’indiquez pas le nom du DPO lui-même. Il doit s’agir du représentant légal de l’organisme ou d’une personne en contact avec ce dernier.
Étape n°2 : informations sur le délégué désigné
Le DPO désigné en interne ne peut être qu’une personne physique (un salarié, par exemple).
En revanche, si vous avez choisi un DPO externe, il peut s’agir d’une personne physique ou d’une personne morale. Vous devez cochez l’une des cases correspondantes.
S’il s’agit d’une personne physique, renseignez les informations demandées. Ainsi, dans le champ « Coordonnées de la personne chargée de la désignation » : inscrivez les coordonnées du DPO.
S’il s’agit d’une personne morale, renseignez son numéro SIREN pour que les informations de l’organisme soient générées automatiquement. Si l’organisme ne dispose pas d’un numéro SIREN, saisissez les informations manuellement.
Étape n°3 : les informations publiques du délégué
Vous devez renseigner deux moyens pour permettre de contacter le DPO.
L’un de ces moyens doit obligatoirement être une adresse électronique ou un formulaire en ligne. L’autre moyen est libre (numéro de téléphone par exemple).
⚠️ Ces informations sont en open data, c’est-à-dire qu’elles sont accessibles au public. Lorsque vous indiquez les coordonnées du délégué, n’importe qui y a accès via le site de la CNIL. Privilégiez donc un formulaire en ligne ou une adresse mail générique comme point de contact.
A cette étape, vous pouvez indiquer un moyen de contact différent de celui transmis à la CNIL et uniquement accessible par ses services.
Étape n°4 : récapitulatif et envoi à la CNIL
Vérifiez bien les informations renseignées dans le formulaire puis validez le. Nous vous recommandons de télécharger le récapitulatif de la désignation au format PDF, preuve de la désignation du DPO.
Les personnes suivantes reçoivent un email de confirmation de la désignation du délégué à la protection des données :
- Le responsable légal de l’organisme désignant le délégué ;
- Le contact de l’organisme pour la CNIL : qui peut être le responsable légal ou toute personne en contact avec ;
- Le DPO désigné.
💡 Vous vous rendez compte d’une erreur dans le formulaire ? Pas de panique ! Il suffit d’envoyer un mail au service des DPO pour demander la correction. L’adresse email est indiquée dans l’email de confirmation.
Et voilà … Vous avez terminé ! Aucun document n’est à joindre à votre demande.
Facile, non ?
🔎Votre organisation a une activité dans plusieurs pays ? Assurez-vous que la CNIL est bien l’ autorité compétente pour la désignation. Tout dépend des traitements de données mis en œuvre.
4- Déclaration du DPO : les sanctions en cas de manquement
Les sanctions RGPD
Si vous avez l'obligation de désigner un DPO et que vous ne le faites pas, vous vous exposez à une sanction de la CNIL pouvant aller du simple rappel à l’ordre jusqu’à une amende administrative.
Pour rappel, cette amende peut s'élever jusqu’à 10 millions d’euros ou 4% de votre chiffre d'affaires annuel.
De même, si vous avez désigné un DPO et que vous ne le déclarez pas, vous vous exposez aux sanctions prévues pour non conformité au RGPD.
La documentation relative au DPO
Comme nous l’avons vu, vous n’avez aucun document à joindre à votre formulaire de déclaration du délégué. En effet, la CNIL ne réalise aucune vérification au moment de la désignation.
Cependant, vous devez être en mesure de :
- prouver que le DPO désigné répond aux exigences du RGPD en termes de connaissances et compétences requises;
- qu'il dispose des moyens nécessaires à l'exercice de ses missions ;
- démontrer l’absence de conflit d'intérêt.
A ce titre, conservez tous les documents attestant de la conformité de la désignation du DPO aux principes du règlement européen : CV, fiche de poste, attestation de l’absence de conflit d'intérêt, certification, etc.
En effet, si aucune vérification n’est réalisée au moment de la désignation, vous n’êtes jamais à l’abri d’un contrôle de la CNIL. Les agents pourront vous demander de présenter cette documentation.
- Pour plus d’information sur votre mise en conformité au RGPD, n’hésitez pas à demander une démo du logiciel RGPD Leto !
Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.