GDPR : un délégué à la protection des données pour quoi faire

THE « chef d’orchestre »

Documenter la conformité


Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :


  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.


Pour vous accompagner dans la mise en place des nouvelles obligations imposées par le règlement européen, le délégué doit notamment :


  • s’informer sur le contenu des nouvelles obligations ;
  • sensibiliser les décideurs sur l’impact de ces nouvelles règles ;
  • réaliser l’inventaire des traitements de données de votre organisme ;
  • concevoir des actions de sensibilisation ;
  • piloter la conformité en continu.


Pour mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité, commencez à faire l’inventaire de tous les traitements de données personnelles que vous mettez en oeuvre. Notez quelle est la provenance de ces données et les personnes avec lesquelles vous les avez partagées. La tenue d'un registre des traitements vous permet de faire le point.


Obligation de désignation ou non ?


Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :


  • s’ils appartiennent au secteur public,
  • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.


En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.


La désignation volontaire d’un DPO, hors toute obligation légale donc, par les responsables de traitement et les sous-traitants est encouragée par le Groupe de l’Article 29. Si il ou elle est désigné(e) en tant que tel et dénommé(e) « délégué à la protection des données », l’ensemble des exigences du Règlement devront être respectées. Les articles 37 à 39 s’appliqueront de la même façon que si sa désignation avait été obligatoire.


Un organisme peut engager du personnel et l’employer pour accomplir des missions de DPD ou recourir à un consultant externe pour exercer ces missions sur base volontaire. L’entreprise peut ainsi souhaiter se conformer strictement à l‘ensemble des exigences du RGPD. Le Groupe 29 encourage la désignation de délégué au sens du Règlement. Si le responsable de traitement et/ou le sous-traitant n’opèrent pas ce choix , il est important qu’aucune confusion n’existe tant en interne que pour les autorités de contrôle et les personnes concernées s’agissant du titre, du statut et des tâches de cette personne qui ne peut être considérée comme un « délégué à la protection des données « au sens du RGPD.


Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.


Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.


Pour garantir l’effectivité de ses missions, le délégué doit :


  • disposer de qualités professionnelles et de connaissances spécifiques,
  • bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.


La mise en place de la fonction de délégué nécessite d’être anticipée et organisée dès aujourd’hui, afin d’être prêt en mai 2018.

En France, Le délégué à la protection des données est le successeur naturel du CIL. Leurs statuts sont similaires (Pour l’articulation entre le CIL (Correspondant Informatique et Libertés) et le DPD (Délégué à la Protection des Données), lire : https://www.cnil.fr/fr/le-cil-et-le-futur-delegue-la-protection-des-donnees.)


Profil et compétences requises


Toutefois, le règlement précise les exigences portant sur le délégué s’agissant de ses qualifications (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et de sa formation continue (entretien de ses connaissances spécialisées).


Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).


Ses prérogatives et missions sont renforcées, s’agissant en particulier de son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).


Par ailleurs, les organismes doivent fournir à leur délégué les ressources nécessaires à ses missions (notamment l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données, lui donner accès aux données ou encore lui permettre de se former).


Enfin, contrairement au CIL dont la désignation est facultative, celle du délégué est obligatoire dans certains cas.


Il en va de même en Belgique.


La fonction du délégué à la protection des données et du conseiller en sécurité de l'information découle de législations différentes. Ces législations établissent des conditions qui leur sont propres. Cela signifie qu’une analyse extensive de ces législations est requise pour en dégager les différences. Cette question est encore actuellement à l’étude au sein de la Commission vie privée.


Le RGPD prévoit que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi que de sa capacité à accomplir les missions visées à l'article 39 du RGPD.


Il convient, dès lors, d’examiner au cas par cas si la personne désignée en tant que délégué à la protection des données satisfait effectivement aux conditions du RGPD. Il s’agit là d’une analyse qui doit être effectuée en interne par le responsable du traitement ou le sous-traitant qui a l’intention de nommer un délégué.


Pour devenir Délégué à la Protection des Données en France, lire : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees, en Belgique : https://www.privacycommission.be/fr/faq-page/10043#t10043n19846


La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :


  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie ») (voir la question spécifique sur le conflit d’intérêts).
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).


Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).


Pour en savoir plus


Voici quelques liens forts utiles pour poursuivre l’analyse de l’intérêt de désigner un DPO dans votre entreprise (avocat ou juriste, professionnel du chiffre, informaticien,…) :


  1. https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz#Délégué à la protection
  2. Guidelines on Data Protection Officers ('DPOs'): http://ec.europa.eu/newsroom/document.cfm?doc_id=44100
  3. Frequently asked questions (FAQ): http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf


Les articles 37 à 39 du Chapitre IV du RGPD consacré aux obligations des responsables de traitement et des sous-traitants sont particulièrement pertinents :


  • L’article 37 est relatif à la désignation du délégué ;
  • L’article 38 est relatif au statut du délégué ;
  • L’article 39 est relatif aux missions du délégué ;


D’autres dispositions prévoient un rôle pour le délégué à la protection des données :


  • L’article 35 relatif à l’analyse d’impact relative à la protection des données qui prévoit la consultation du délégué ;
  • Les articles 13 et 14 relatifs à l’information de la personne concernée : les coordonnées du délégué doivent lui être communiquées ;
  • Les articles 33 et 34 relatifs à la notification des failles de sécurité à l’autorité de protection des données et à la personne concernée : les coordonnées du délégué doivent leur être communiquées.


Où trouver le texte ? Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est aisé à consulter :


1. Sur le site de la CNIL ;

2. Sur le site du DSB-Mit-System

3. Sur le site de l'Union Européenne.

Mots clés

Articles recommandés

Le tribunal du Hainaut bouleverse la doctrine Antigone

Traitement des données pour intérêt légitime, quand et comment ? l’EDPB publie ses lignes directrices.

Dirigeants en télétravail : évitez les pièges cachés !