Première étape : Introduction

L’accroche

Bien que la section IV du Chapitre IV du Règlement Général sur la Protection des Données
(nommé RGPD dans la suite de ce document)  :

- précise les situations ou la désignation d’un Délégué à la Protection des Données

(DPD dans la suite de ce document) est obligatoire ainsi que les qualité et
compétences qu’il doit possèder (Art. 37),
- encadre sa fonction (Art. 38),
- désigne le corps minimal de ses missions (Art. 39),

elle ne permet pas, à elle seule, la rédaction d’une lettre de mission dont l’objectif est
d’encadrer les responsabilité et l’activité du DPD dans un contexte organisationnel concret
et évolutif.

Après avoir préciser le contexte d’intervention, nous proposons d’analyser des textes
réglementaires et doctrinaux, de prendre en compte les recommandations d’organismes
professionnels pour la création d’une lettre de mission.

Récapitulatif des faits présentés.

Il faut commencer la rédaction du devoir par un exposé des faits pertinents, c’est-à-dire les
faits qui permettront l’identification du problème posé par l’affaire et du droit qui y sera
applicable.

L’objectif de cette note est de proposer une lettre de mission détaillée de Délégué à la
Protection des Données, salarié, s’inscrivant dans la réglementation applicable sur le
territoire français.

Les contextes organisationnel et sectoriel ne sont pas fixés, bien que la taille et le nombre de
des établissements, leur situation, comme les spécificités de son ou ses activités, sa dimension
internationale ou non, peuvent avoir un impact conséquent sur la fonction, comme sur les
missions et compétences requises par le Délégué ou l’équipe dédiée à la la Protection des
Données.

Cependant, dans le cadre des consignes orales données par l’enseignant, l’initiative de les
préciser est laissée au rédacteur.

Dans le cadre de ce cas pratique, nous avons choisi de situer notre étude dans le cadre d’une
association loi 1901, reconnue d’utilité publique, dont l’activité principale est la gestion de
quatre foyers de jeunes travailleurs tous situés dans le Val d’Oise.

Cette association comprend XX salariés et dispose d’un parc de 434 logements permettant
d’accueillir au maximum 480 résidents, pour lesquels un suivi social individuel est organisé
en conformité avec .
Par ailleurs, l’association reçoit plus de XXX candidatures par an, mais qui ne se
concrétisent pas toutes par un traitement de données.

Dans le cadre de son activité, l’association est en relation forte avec des partenaires
institutionnels : CAF, Conseil Départemental qui participent à son financement, Service des
tutelles, Bailleurs de logements sociaux, assocations d’insertion, Assistantes sociales, qui
sont ponctuellement destinataires ou fournisseurs de données personnelles des résidents.

Le traitement des données n’est pas complètement informatisé : Par exemple la procédure de
candidature à hébergement dispose d’un traitement papier, les entretiens individuels de suivi
social ne font pas l’objet d’une saisi sur un logiciel dédié.

L’association ne pratique et n’envisage aucun transfert de données en dehors de la

communauté européennes.

La fonction de Délégué à la Protection des Données interne a été créée en mars 2019. Elle
fait l’objet d’un travail à temps partiel et est occupé par un salarié qui ne dispose d’aucun
autre poste au sein de l’association ni d’aucune autre activité.

Préalablement à la création de ce poste, aucune action de mise en conformité avec la

réglementation sur la protection des données n’avait été réalisée.

Deuxième étape: Qualification juridique des faits

C’est la traduction juridique des données factuelles. Il s’agit, à partir d’une description
factuelle, de les qualifier juridiquement.

C’est-à-dire rattacher un fait concret à une catégorie abstraite connue du droit qui,
contrairement aux faits, a une portée générale.

Par exemple, s’il est indiqué qu’un enfant est né pendant le mariage d’un couple, il y a tout
lieu de penser que cet enfant est légitime .

(textes législatifs ou réglementaires, doctrine de la CNIL et du G29, jurisprudence éventuelle

Présentation de la réglementation applicable.

Le règlement 2016/676 du Parlement Européen et du Conseil du 27 avril 2016.

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
modifiée en vertu du décret 2019/536 du 30 mais 2019.

L’article 2 de directive 2019/1024 du Parlement Européen et du 20 juin 2019, concernant les

données ouvertes et la réutilisation des informations du secteur public.

Le décret no 2015-951 du 31 juillet 2015 relatif aux foyers de jeunes travailleurs.

Doctrine de la CNIL et du Comité Européen de la Protection des Données (CEPD, ex Groupe
article 29).

Lignes directrices concernant les délégués à la protection des données (DPD), WP 243
rev.01 adoptée le 13 décembre 2016 et résivée et adoptée le 5 avril 2017.

Rapport sur le statut des délégués à la protection des données du Contrôleur Européen de la
Protection des Données du 17 décembre 2012, notamment le point 4 portant sur le mandat du
délégué.

Délibération de la CNIL n° 2018-318 du 20 septembre 2018 portant adoption des critères du

référentiel de certification des compétences du délégué à la protection des données (DPO)
parue au JORF n°0235 du 11 octobre 2018.

Recommandations d’organismes professionnels.

Union Sociale pour l’Habitat : N° 41 de la revue Repères, sur le RGPD. Référence principale
prise par l’Union Régionale pour l’Habitat des Jeunes (URHAJ) de l’Ile de France.

Exemple de lettre de mission d’un Délégué à la Protection des Données, Association

Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP).

Troisième étape : La question de droit

Quel est le fondement juridique de la désignation d’un DPD au sein de l’association ?

Quatrième étape : Identification de la règle de droit

Se référer à la loi.

L’article 37 du RGPD (Le règlement 2016/676 du Parlement Européen et du Conseil du 27

avril 2016) prévoit trois cas de désignation obligatoire de DPD :

Le point a) désigne explicitement les traitements effectués par des organismes publics.

Pour qualifier ce caractère public, la directive sur les délégués à la protection des données
(WP 243 rev.1 du 13 décembre 2016, révisée et adoptée le 5 avirl 2017), renvoie à L’article 2
de directive 2019/1024 du Parlement Européen et du 20 juin 2019, concernant les données
ouvertes et la réutilisation des informations du  secteur public qui précise :

« Aux fins de la présente directive, on entend par:

 1) «organismes du secteur public», l'État, les autorités régionales ou locales,
les organismes de droit public ou les associations formées par une ou
plusieurs de ces autorités ou un ou plusieurs de ces organismes de droit
public;

2) «organismes de droit public», les organismes présentant toutes les

caractéristiques suivantes:

a) ils ont été créés pour satisfaire spécifiquement des besoins d'intérêt général
ayant un caractère autre qu'industriel ou commercial;

b) ils sont dotés de la personnalité juridique; et

c) soit ils sont financés majoritairement par l'État, les autorités régionales ou
locales ou d'autres organismes de droit public, soit leur gestion est soumise à
un contrôle de ces autorités ou organismes, soit leur organe d'administration,
de direction ou de surveillance est composé de membres dont plus de la moitié
sont désignés par l'État, les autorités régionales ou locales ou d'autres
organismes de droit public; (…)»

Le décret no 2015-951 du 31 juillet 2015 relatif aux foyers de jeunes travailleurs, rappelle
que cette activité est soumise à agréement (sauf cas de dispense explicite) et précise les
publics concernés comme les prestations obligatoires dont ils doivent bénéficier.

Le point b) est relatif aux activités de base du Responsable de traitement qui « consistent en
des opérations de traitement, qui du fait de leur nature, de leur portée et/ou de leur finalité ,
exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Dans les lignres directrices concernant les délégués à la protection des données, le Groupe
article 29 précise les notions de grande échelle, notamment le nombre de personnes
concernées en valeur absolue ou relatif et le volume et/ou le spectre des données traitées, de
suivi régulier, notamment ayant lieu de manière constante ou périodique, et sytématique, en
particulier préétabli, organisé ou méthodique.

Le point c) de l’article 37 concerne le traitement de données particulières relatives aux

articles 9 et 10 du RGPD.

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
modifiée en vertu du décret 2019/536 du 30 mai 2019, ne précise pas d’autres cas rendant
obligatoire cette désignation.

Cinquième étape : Application aux faits exposés.

Bien que l’association ait été créé pour satisfaire des besoins d’intérêt général n’ayant pas
de caractère industriel et commercial, qu’elle dispose d’une personnalité juridique et d’un
agréement en conformité avec Le décret no 2015-951 du 31 juillet 2015 relatif aux foyers de
jeunes travailleurs, elle n’est pas financée majoritairement par des fonds publics, sa gestion
n’est pas soumise à un contrôle administratif et son organe de gestion est composé de
personnes privées.
Elle ne correspond donc , à ce jour, pas aux critères qualifiant un organisme public et donc
n’est pas concernée par le point a) de l’article 37 du RGPD et aux obligations afférentes à ce
type d’organisme.

Cependant, le financement de l’association étant constitué actuellement à 40% de

subventions publiques, une attention particulière devra être apportée sur une évolution qui
pourrait motiver l’application du point a) de l’article 37.

L’association ne traite aucune donnée relative aux articles 9 et 10 du RGPD. Elle n’est donc
pas soumise au point c) de l’article 37 du RGPD.

Au travers de la gestion de quatre sites de jeunes traivalleurs, l’association couvre près de

40% des publics hébergés.

La gestion locative, comme la suivi personnalisé rendu obligatoire par le décret no 2015-951
du 31 juillet 2015 relatif aux foyers de jeunes travailleurs, implique le traiement d’un volume
important de données à caractère personnel, avec un suivi systématique (préétabli, organisé
ou méthodique) et régulier (ayant lieu de manière périodique).

L’assocation est tenue de désigner un DPD au titre du point b) de l’article 37 du RGPD.

Troisième étape : La question de droit

Outre le fondement juridique, quelles conditions participent à la licéité de la nomination d’un
DPD  ?

Quatrième étape : Identification de la règle de droit

Publicité de la délignation, joignabilité du DPD.

Les alinéas 2 et 7 de l’article 37 du RGPD soulignent l’importance de la joignabilité du DPD

et d’en facilité la réalisation à partir des établissements et par la communication interne et en
externe de ses coordonnées.

L’alinea 7 de l’article 37 fait de la publication des coordonnées du DPD comme de leur

communication à la CNIL, un critère de licéité.

Les compétences professionnelles du DPD.

L’alinea 5 de l’article 37 du RGPD portant sur les qualités professionnelles, notamment ses
connaissances spécialisées en droit de la protection des données et ses capacités à réaliser
les missions spécifiées à l’article 39.

La directive sur les délégués à la protection des données (WP 243 rev.1 du 13 décembre
2016, révisée et adoptée le 5 avirl 2017), fait des recommandations sur :
 - Le niveau d’expertise qui doit être proportionné « à la sensibilité, à la complexité et
au volume des données traitées par un organisme » et de prendre en considération
l’importance spécifique des besoins de sécurité afférents aux traitements.
- La nécessaire maîtrise de la législation et des pratiques en matière de protection des
données.
- Une culture des organisations, des systèmes d’information et problématiques métiers
de l’entreprise.
- L’intégrité et le niveau déontologique
- Les qualités de communication et pédagogiques du DPD.

Conditions d’ exercice la mission de DPD.

L’alinea 2 de l’article 37 du RGPD prévoit qu’un DPD puisse être désigné pour plusieurs
établissements, à condition soit facilement joignable à partir de chacun d’entre-eux.

La directive sur les délégués à la protection des données (WP 243 rev.1 du 13 décembre
2016, révisée et adoptée le 5 avril 2017) au point 2.3, souligne que la désignation d’un seul
DPD pour plusieurs établissements, ne doit pas faire obstacle à la réalisation de ses
missions.
Cette recommandation est conforme à l’alinea 2 de l’article 38 qui précise que le
Responsable de Traitement et le sous-traitant doivent fournir au DPD les ressources
nécessaires à la réalisation de ses missions.

Cinquième étape : Application aux faits exposés.

En plus des cas de désignation obligatoire, l’article 37 indique les conditions de licéité
complémentaires suivantes à la nomination d’un DPD :
- La communication des coordonnées auprès de la Cnil.
- La publicité interne et extere de sa désignation et de ses coordonnées.
Ces deux obligations administrative conditionnant la légalité de son action, devront
figurer dans la lettre de mission.
La joignabilité en interne ou en externe, constitue un impératif de la fonction de DPD au
regard de son important rôle de médiateur avec les personnes fichées, soient les salariés
en interne et les résidents ou candidats résidents en externe.
Par ailleurs, elle est conforme à l’obligation qui lui est faite à l’alinea d de l’article 39 du
RGPD sur la coopération avec l’autorité de contrôle.
L’importance de ce point est d’ailleurs souligné dans l’alinea 2 de l’article 37.
En conséquencela capacité à communiquer, comme les conditions garantissant sa
joignabilité devront être prises en compte dans la lettre de mission.
- Les compétences professionnelles du DPD.
 Au stade de la lettre de mission, on peut considérer comme acquis que l’évaluation des
compétences du DPD ont été évaluées, validées ou que des mesures de compensation
éventuelles en terme de formation ou de ressources internes ou externes ont été définies.
L’alinea 5 de l’article 37 et la directive sur les Délégués à la Protection des données, sont
un rappel à l’esprit de responsabilité envers les personnes fichées, mais également à
l’obligation de l’employeur de s’assurer des capacités des salariés à exercer leurs
missions et de les maintenir.
Compte tenu de la fonction, il parait nécessaire d’inscrire dans la lettre de mission
l’importance pour le DPD et la Responsable de Traitement de s’assurer de cette capacité
au regard des spécificité des traiements réalisés.
- Les conditions d’exercice de la misison.
Les conditions d’exercice de la mission sont abordés indirectement dans le cadre l’article
37 du RGPD.
Cependant, il parait logique que si les conditions d’exercice ne doivent pas nuire à la
joignabilité du DPD, il en va de même pour la réalisation de l’ensemble des missions qui
lui sont confiées.
Par ailleurs, l’alinea 2 de l’article 38 du RGPD fait obligation à l’employeur de fournir
au DPD les moyens nécessaires à la réalisation de sa mission, en terme de temps, de
matériel, de compétences internes et externe, d’information et de formation.
Il parait donc nécessaire de garantir dans la lettre de misison un dispositif permettant
d’évaluer régulièrement que les conditions d’exercice favorisent bien la réamisation de la
fonction et des misisons du DPD.

Bien que les lignes directrices n’aient pas de valeur légale contraignante, elles semblent en avoir les
effets, dans la mesure où elles sont l’expression de la volonté de la communauté européenne
d’homogénéiser les pratiques au sein des différents états concernés.

Les Lignes Directrices concernant les délégués à la protection des données (DPD) WP 243 adoptées le
13 décembre 2016, révisées le 5 avril 2017, constituent un ressources importantes pour la bonne
compréhension des conditions de l’obligation de cette diligence, ainsi que ses fonctions et missions.

Par ailleurs, bien que le métier de Délégué à la Protection des Données ne figure pas dans la liste des
professions réglementées, la définition de son contenu, comme des qualités et compétences que
doivent détenir leur titulaires, les y assimilent clairement.

La prise en compte de ces directives s’en trouve ainsi renforcée.

Sur 18 pages de commentaires stricto-sensus (hors page de garde, sommaire et annexe) 11 sont
consacrées aux conditions de licéité de la fonction, montrant ainsi l’importance qui doit être accordé
à ce sujet, y compris dans la lettre de mission.

Finalité générale de la fonction Insiste sur le principe de responsabilité qui est au Introduction.
cœur de la nouvelle réglementation.
Faciliter la conformité avec les disposition du
RGPD grace à la mise en œuvre d’ouvils de
responsabilité (facilitation des AIPD, d’audits)
et être les intermédiaires entre les acteurs
concernés (Autorité de contrôle, personnes
concernées, services au sein de l’organisme).
Licéité du DPD.
Désignation du DPD
Rappel des cas de désignation obligatoire :
Une autorité publique ou un organisme public.
Fait référence à la Directive 2003/98/CE, qui
précise ces deux notions qui incluent de
nombreux organismes privés dont le
financement ou la direction est assurée par la
force publique.
Les activités de base du….. opérations de
traitement … un suivi régulier et systématique
à grande échelle des personnes concernées.
Explication des critère de suivi régulier et
systématique à grande échelle.
Les activités de base…. Suivi de catégories de
données relevant des articles 9 et 10 du RGPD.
Joignalibilité et localisation du DPD :
Rappel l’obligation faite au DPD d’être
facilement joignable pour les personnes
concernées, sagissant de l’information ou de
l’exercice de leurs droits, avec les services de
l’organisme pour en assurer le conseil et
l’assistance, l’autorité de contrôle.
Rôle de facilitation (conseil, assistance) :
Ce point est à mettre en relation avec l’importance
du rôle d’information et de formation du DPD.
Pour que le principe de responsabilité vive dans
l’organisme, les salariés, comme les personnes
concernées doivent l’assimiler et comprendre le
cadre légale du traitement des données, comme
leurs droits, indispensables pour à sa fluidité et
son respect.
Intermédiaire entre les acteurs concernés :
A éclairer.
Implique l’obligation pour le RT qui ne désigne pas Article 37
de DPD d’expliquer en quoi il ne correspond pas paragraphe 1
aux critères désignation.
Par contre, en cas de désignation volontaire, n’est
il pas tout aussi fondé de faire la même
démarche ?
Dans tous les cas, le suivi de l’évolution de la
sitution de l’organisme au vu de ces critères est
nécessaire.
Cela souligne l’importance de l’organisation des
circuits de communication et d’information
notamment pour l’exercice des droits de la 37 paragraphe 2
personne fichée. du RDPD.
Cette communication doit être facilité, ce qui 39 paragraphe 1
implique que le DPD puisse communiquer dans la du RGPD.
langue du pays, mais également que sa charge de
travail et l’organisation le permettent.
En dehors des cas de désignation, l’obligation de
communiquer à l’autorité de contrôle les

Niveau d’expertise
Art 37 paragraphe 5 : désigné sur la base de
ses qualité professionnelles et en particulier
de ses connaissances spécialisées….et de sa
capacité à accomplir les missions visées à
l’article 39.
Soulinge l’importanc ed propositionner le
niveau d’expertise requis à la complexité, au
volume des données ainsi qu’au métier de
l’organisme.
Aptitude à exercer ses missions.
Doit être appréciée au regard de sa fonction
au sein de l’organisme.
Dans tous les cas :
Haut niveau déontologique
Capacité à promouvoir une culture de pa
protection des données et de la
responsabilité.
Publication et communication des
coordonnées du DPD.
coordonnées du DPD est l’un des éléments qui
vont dans le sens d’une profession réglementée.
Idem pour les points suivants.
Souligne l’importance de l’actualisation des Article 37 du
compétences de la fonction DPD et de la prise en RGPD
compte de la situation particuliere de l’organisme
pour ce faire. Cette question va au-delà des cas
d’obligations de désignation pour aborder le
principe de responsabilité.
En conséquence, cela fait également écho aux
ressources dont doit disposer le DPD (avocats,
etc.).
Absolument nécessaire pour agir en indépendance
et respecter le principes de proportionnalité entre
les intérêts de l’organisme et les droits des
personnes concernées.Doit être indiquée dans la
lettre de mission. En plus de la déontologie la
confidentialité est une obligation du DPD.
Renvoi à la finalité générale de la fonction
(notamment formation et information) et souligne
en tant qu’éléments essentiels du RGPD :
Les principes relatifs au traitement des données.
Les droits des personnes concernées.
Privacy by design.
Registre d’activités de traitement.
Sécurité de traitement.
Notification et communication des violations de
données.
Renouvelle l’importance des circuits de
communication et la joignabilité du DPD.
Article 38
Fonction du DPD
Implication du DPD de manière appropriée et
en temps utile, à toute question relative à la
protection des données à caractère personnel.
La directive cite en particulier 2 exemples, le
privacy by design et l’AIPD.
La directive invide également
- à la participation du DPD
- La demande de l’avis du DPD pour toute
décision pouvant avoir un impact sur la
protection des données
- la prise en compte de l’avis du DPD, sinon en
cas de désaccord la consignation des raisons
de cette situation.
- Consultation immédiate du DPD en cas de
violation des données.
Souligne l’importance du positionnement du
DPD dans l’entreprise afin qu’il puisse jouer
pleinement son rôle.
Ressources nécessaires.
Souligne l’importance de l’équilibre entre les
moyens et les le volume, la complexité de la
tache confiée au DPD.
Cela concerne les ressources en matière de
temps, de matériel, de personnel et de
compétence externe, de budget ainsi que
d’accès aux informations nécessaires à sa
fonction.
Le paragraphe 3.2 insiste également sur la
bonne prise en compte des compétences
personnelles nécessaire au DPD pour
l’exercice de sa fonction, en favorisant sa
formation continue et en prenant en compte
le besoin de compétence technique ou
juridique supplémentaire pour garantir la
fonction.
Exercice des fonctions et des missions en toute
indépendance.
Le 3.1 de la directive concerne deux points :
La mobilisation des compétences du DPD sur tous
sujet pouvant avoir un impact sur la protection des
données, ainsi que son implication des l’amont
dans les projets de traitement de données et en
cas d’AIPD.
Le positionnement interne du DPD, qui doit être
considéré comme un interlocuteur à tout niveau, y
compris de la direction, et son implication de
manière appropriée, c’est-à-dire respectueuse de
son rôle de conseil et d’assistance, son
indépendance (dont l’absence de conflit d’intérêt
fait partie).
Dans la lettre de mission, cela implique de préciser
exactement son rôle, son positionnement, la prise
en compte de ses avis, l’importance du maintien
de son indépendance, et de prévoir des
procédures permettant de faire le point sur ce
sujet, comme d’organiser concrêtement
l’implication du DPD.
Art.38 par.2 du
RGPD
En insistant sur les moyens et compétences
nécessaires à l’exercice de la fonction, la directive
fait de l’équilibre des moyens et des finalités de la
fonction un critère d’évaluation possible de la
mise en œuvre correcte du RGPD.
Il parait donc nécessaire de prendre en compte cet
aspect dans la lettre de mission, notamment en
décrivant de manière précise les ressources
initiales mises à disposition et la prise en compte
de leur évolution au travers de points réguliers.
Par ailleurs, afin d’offrir des garanties suffisantes Rapport sur le
de stabilité dans la fonction, il devrait être prévu, à statut des
l’égal des DPD externe une durée minimale de délégués à la
maintien dans la fonction. protection des
données (CE
17/12/2012).
Art. 38 par. 3 du
RGPD
A partir de l’article 38 paragraphe 3 et du
considérant 97 du RGPD, la directive les
conditions à l’indépendance du DPD :
Notamment l’absence d’instruction sur
l’exercice des missions ou de contrainte sur
sur l’interprêtation de la législation, en
particulier de la protection des données
personnelles.
Le point 3.3 de la directive est complété par les Considérant 97
points 3.4 (licenciement et sanctions) et le point du RGPD.
3.5 (conflits d’inrérêts).
Dans la lettre de mission, cela devrait prendre la
forme d’un engagement formel de la directon
pour elle-même et pour les membres de
l’organisation.

En conséquence, les divergences de point de

vue avec l’avis du DPD doivent être l’objet
d’une documentation.

Le rattachement du DPD au plus haut niveau

hierarchique serait également une garantie de
respect de son indépendance.

Licenciement et sanction pour l’exercice des

missions du DPD. Art. 38 par. 3 du
RGPD
Pose l’intection des sanctions directe ou
indirecte envers le DPD du fait de l’exercice de Il est conseillé d’inclure dans la lettre de mission
mission. des garanties sur ce point. Quelle forme pourrait
elles prendre ?
Cette interdiction ne couvre cependant par la
gestion normale comme c’est le cas pour
toute autre employé ;

Conflit d’intérêts.

Il importe de veiller à l’absence et à la

prévention de tout conflit d’intérêt au
moment de la nomination du DPD comme au Doit prendre sa place dans la section
cours de la réalisation de ses missions. Indépendance du DPD au sein de la lettre de
mission.
Cela implique notamment que le DPD
n’occupe pas au sein de l’entreprise une De même, il faut inclure l’obligation pour le DPD
fonction qui l’amène à déterminer les finalité de s’assurer qu’en toute circonstance il évitera de
et les moyens d’un traitement à caractère générer tout conflit d’intérêt susceptible de
personnel. remettre en cause son indépendance
fonctionnelle.
Par ailleurs serait incompatible avec toute
fonction de délégation de pouvoir, soit
d’encadrement supérieure ou de
représentation du personnel.

Missions du DPD
Contrôle du Respect du RGPD
Commente le rôle de conseil et d’assistance
du RT et du SSTT sur le respect interne du
RGPD.
Mais également contribue à éclaire la
séparation des rôles entre DPD et RT :
C’est au RT de mettre en œuvre des mesures
techniques et organisationnelles appropriées
pour s’assuer et être en mesure de démontrer
que le traitement est effectué conforméméent
au règlement.
Dans le cadre de sa fonction de contrôle le
DPD peut notammeent recueillir des
information pour le recensement des activités
de traitement, analyser et véfifier la
conformité des activités de traiementn(audit),
informer, conseiller le RT et le SST, formuler
des recommandations.
Rôle du DPD dans les analyses d’impact.
La distinction rôles présentée dans le point 4.1
s’applique également au AIPD.
Le rôle du DPD est de dispenser des conseils
sur demande en ce qui concerne l’AIPD et d’en
vérifier la réalisation.
Ce point fait au RT l’obligation de consulter le
DPD notamment sur les questions suivantes :
L’opportunité de réaliser une AIPD, la
méthodologie à suivre, s'il faut faire appel à
une compétence externe pour la réaliser, les
mesure à prendre pour atténuer les risques
sur les droits des personnes fichées, la
complétude et la qualité de l’AIPD et des
conclusions au regard du RGPD.
Coopérer avec l’autrité de contrôle.
Rôle de point de contact et de facilitateur
dans le cadre des contrôles et consultations
de la CNIL.
Art. 39 par. 1 du
RGPD
Le point présent (4.1) et le suivant (4.2)
permettent d’éclairer la séparation des rôles de Considérant 97
DPD et de RT : du RGPD
Le DPD est dans un rôle d’audit, de conseil,
d’assistance et de recommandation du RT.
Le RT met en œuvre les mesures techniques et Art. 24 par. 1 du
organisationnnelles appropriées pour s’assuerer et RGPD
être en mesure de démontrer le respect du
règlement.
Cette disposition permet de garantir le DPD de ne
pas mettre en cause sa fonction par un conflit
d’intérêts du fait d’une intervention comme RT.
Cette distinction fondamentale doit être intégrée
dans la lettre de mission.
Le point 4.2 vient compléter la séparation des Art. 35 par. 1 du
rôles entre RT et DPD, ainsi que préciser les RGPD
obligations du RT au regard du DPD, obligations
qui pourraient constituer les critères de validité de
l’AIPD.
Cette distinction est à inclure dans la lettre de
mission.
Art. 39 par. 1 du
Ce point 4.3 est à prendre en compte pour la RGPD
rédaction de la lettre de mission.
Reste cependant à détailler le rôle du DPD en cas
de contrôle ou de sollicitation de la cnil, suite à
une plainte ou à une violation de données.
Approche par les risques.
L’approche par les risques est à la fois un
principe fondamentale de la fonction, comme
il est un principe de méthode.
Une appréciation par les risques est fortement
conseillée par la directive qui y voit un
principe discriminant et de priorité dans les
chantiers à engager par le DPD.
Tenue du registre des activités de traitement.
Si la tenue du registre est obligatoire, elle
n’est pas affectée réglementairement au DPD.
Cependant, l’importance de ce registre, sur le
plan légal, comme sur le plan
méthodologique, conduit à promouvoir sa
tenue par le DPD.
Art. 39 par. 2 du
L’approche par les risques doit être développée RGPD
dans la culture de l’entreprise. En conséquence,
elle devrait être systématiquement aux salariés,
par des formations et des actions d’information.
On devrait retrouver ce point dans les finalités
générales de la fonction.
Art. 30 par 1 et 2
Evidemment, le fait que cette mission soit confiée du RGPD
ou non au DPD doit apparaitre dans le courrier de
mission.
L’article 39 cite a minima les missions qui doivent
être confiées au DPD.
Reste que le rôle organisationnel du DPD doit être
précisé. Par exemple :
Doit il indiquer les lignes directrices des
procédures ou également participer à leur
conception ? A priori, dans la mesure où cela ne
concerne ni la détermination des finalités de
traitement des données, ni les moyens afférants
(contrairement à l’AIPD), rien ne semble si
opposer.
Organisation et contrôle des clausiers et de la
documentation de la conformité ?
Le travail de veille juridique et méthodologique.
Détecter le besoin de formation ou faire la
formation ?
Représentation du RT auprès des associations de
professionnels ou de groupes de travail concernés
par la protection des données ?
Le contrôle et l’audit des conventions passées
avec les sous-traitants.
Conseil auprès du RT en matière de label, de code
de conduite, etc.