Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199

Qualités professionnelles du DPO

Responsabilité personnelle du DPO

La personne (employée ou prestataire
externe) ou l'organisation externe choisie
en tant que DPO doit être désignée sur la
base de ses qualités professionnelles

Le DPO ne peut en aucun cas être
tenu personnellement responsable en
cas de non-respect des dispositions du
Règlement par l'entité qui l'a désigné.
Seuls les responsables de traitement et
sous-traitants sont personnellement tenus
d'assurer et d'être en mesure de démontrer leur conformité aux dispositions du
Règlement.

Le G29 précise que le niveau d'expertise
dont le DPO doit disposer doit être déterminé en fonction des traitements de données
mis en œuvre dans l'entreprise et du
niveau de protection devant être accordé
aux catégories de données personnelles
traitées.
En d'autres termes, plus les traitements mis
en œuvre présentent un degré élevé de
complexité et/ou plus le nombre de données
traitées est important ou lorsque les catégories de données traitées présentent une
certaine sensibilité, plus le niveau d'expertise du DPO devra être élevé. L'expertise
du DPO doit porter à la fois sur les règles
européennes et nationales en matière de
protection des données et sur l'activité du
responsable de traitement ou du sous-traitant qui l'a désigné.

Ressources et position du DPO
Les responsables de traitement et sous-traitants doivent mettre le DPO en mesure de
réaliser ses missions. En particulier, le DPO
doit bénéficier des ressources suivantes :
■ un soutien actif de sa fonction et de
ses missions par la hiérarchie de
l'entreprise ;
■ un temps suffisant pour lui
permettre d'assurer ses missions ;
■ des ressources matérielles et
financières suffisantes, notamment
en termes de locaux et d'équipements ainsi que de personnel si
nécessaire ;
■ la garantie d'un accès facilité à
l'ensemble des services de l'entreprise permettant au DPO de recevoir le soutien, les informations et
les contributions nécessaires de la
part de ces services ;
■ une formation continue.
La désignation du DPO doit être communiquée de manière officielle à l'ensemble du
personnel de l'entreprise afin notamment
de faciliter l'exercice de ses missions.
A ce stade, la possibilité pour la Cnil de
vérifier les compétences du DPO ainsi que
les ressources mises à sa disposition pour
exercer sa mission ne sont pas précisées.

Les missions obligatoires du DPO
Lorsqu'ils désignent un DPO, les responsables de traitement et sous-traitants
sont tenus de l'associer à toutes les questions liées aux données personnelles. Le
DPO devra être consulté suffisamment
en amont de la prise de décision afin de
garantir la prise en compte effective des
questions de protection des données par
l'organisme. Le DPO doit obligatoirement
être chargé des missions suivantes :
■ informer et conseiller l'entité qui l'a
désigné ainsi que ses employés,
■ contrôler le respect des dispositions du Règlement et du droit local
applicable par l'entité,
■ conseiller et assister l'entité lors
de la réalisation d'étude d'impact
et de vérifier les conditions de
réalisation,
■ coopérer avec l'autorité de contrôle
compétente.

Le registre des traitements,
une mission facultative du DPO
Le DPO devrait naturellement être chargé
de tenir le registre des activités de traitement que chaque responsable de traitement a l'obligation de tenir en application
de l'article 30 du Règlement. Mais cette
mission ne figure pas dans la liste des
missions obligatoires.
Pour rappel, l'ensemble des entreprises qui
traitent des données à caractère personnel auront l'obligation de tenir un registre
des traitements, indépendamment de leur
soumission à l'obligation de nommer un
DPO. Ainsi, même les entreprises traitant des quantités limitées de données
devront vraisemblablement assigner à un
ou plusieurs membres de leurs équipes
la mission de tenir ce registre. Ces entreprises devront toutefois être prudentes dans
la dénomination du poste de la personne
chargée de cette mission afin de ne pas
se soumettre volontairement à l'ensemble
des obligations et exigences liées au statut

EXPERTISES MAI 2017

du DPO. La sanction du non-respect de
l'obligation de tenir un registre des traitements peut s'élever à 10 millions d'euros ou
2% du chiffre d'affaire annuel mondial, le
montant le plus élevé étant retenu.

Nomination volontaire d'un DPO
Le G29 recommande de manière générale
à l'ensemble des entités mettant en œuvre
des traitements de données personnelles
de procéder à la désignation d'un DPO.
Toutefois, le choix volontaire de désigner un
DPO entraîne nécessairement l'application
de l'ensemble du régime afférent, à savoir
absence de conflit d'intérêt, l'existence de
ressources suffisantes, l'inamovibilité en
raison de ses fonctions de DPO mais également consultation obligatoire du DPO sur
l'ensemble des sujets impliquant le traitement
de données. Aussi il n'est pas recommandé
aux entreprises qui souhaitent ne confier que
certaines missions relatives à la protection
des données personnelles à un membre de
leur personnel ou à un prestataire externe
d'utiliser la dénomination de DPO.

CIL vs. DPO
Le DPO doit être désigné sur la base de
ses capacités à accomplir sa mission et de
ses qualifications. Il doit notamment avoir
une connaissance approfondie des règles
de protection des données personnelles
résultant du GDPR et de la loi nationale
ainsi qu'une expérience significative du
secteur d'activité de l'organisme qui le
désigne. A cet égard, la Cnil a précisé
que les correspondants Informatiques et
libertés avaient naturellement vocation
à devenir DPO lors de l'entrée en vigueur
du GDPR. Ce basculement ne sera toutefois pas automatique.
La Cnil précise que les organismes
concernés devront lui indiquer en 2018
s'ils souhaitent que leur CIL devienne
DPO. Les modalités applicables à ce
changement de statut devraient être
précisées « ultérieurement« par la Cnil.

Benjamin MAY
Associé
Cabinet Aramis

Clémentine RICHARD
Collaboratrice
Cabinet Aramis

199



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com