Désigner un DPD / DPO à la CNIL - RGPD Brest

Comment désigner un DPD ?

Il n’existe pas à ce jour (en 2018) de certification nécessaire pour être DPO / DPD.

Cependant, l’établissement choisissant d’avoir recours à quelqu’un pour ce poste devra s’assurer qu’il en a les compétences, qu’il a assez de temps pour mener sa mission (en particulier pour les prestations externes facturées au temps passé) et qu’il aura la liberté d’action exigée par le poste.

Ces éléments préalables étant établi, il faut formaliser l’engagement et déclarer le nouveau Délégué à la Protection des données à la CNIL.

Pendant les premières années de la loi RGPD il est possible qu’il soit difficile de trouver une personne ayant toutes les compétences requises. Il faudra alors mettre en place le plus rapidement possible un plan de formation pour corriger les faiblesses du profil du DPD.

Attention : si on choisit de désigner un DPD interne à l’établissement, les personnes exerçant des fonctions créant un conflit d’intérêts avec la mission du DPD/DPO ne peuvent pas être nommées. Par d’exemple : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique. La règle générale est que dès qu’une fonctions ou un rôle amène à déterminer les finalités et/ou les moyens d’un traitement, il y a risque de conflit d’intérêts.

Et si des éléments changent (nouveau responsable de traitement par exemple) ?

Dans ce cas, il faut faire une demande de modification de la déclaration.