Étude du CEPD : Rôle et reconnaissance des DPO en 2023
5 ans après l’entrée en application du RGPD, le Comité Européen à la Protection des Données (CEPD) s’est intéressé au sujet du rôle et de la reconnaissance des déléguées à la protection des données (DPO).
La publication des conclusions de cette étude, menée dans le cadre de l’action coordonnée, est intervenue le 16 janvier 2024.
Nous avons eu la chance d’assister à leur présentation réalisée par Ana Talus (Présidente du CEPD) à l’occasion de l’Université 2024 de l’AFCDP.
Sur la méthode :
Les conclusions globales du CEPD sont utilement complétées des analyses des résultats collectés pays par pays, ainsi que par un tableau global et statistique de réponses (sous format Excel).
Ces trois niveaux d’analyse se complètent utilement et facilitent les comparaisons et mises en perspective.
En effet, le CEPD note sur ce point que les autorités de contrôle ont choisi des approches différentes de diffusion du questionnaire servant de base à cette étude. Nous pouvons citer en exemple la France qui a procédé à l’envoi du questionnaire à 14 entités publiques et privées et qui a procédé à des contrôles sur place1. En comparaison, l’Espagne a choisi d’adresser le questionnaire à près de 30 000 entités.
Le Comité note également que les questionnaires ont principalement été remplis par des responsables de traitements et sous-traitants directement : le résultat de cette étude est donc à nuancer grandement, tant par le caractère déclaratif que par le fait que la parole des DPO n’était peut-être pas tout à fait libre !
Sur les conclusions :
En l’état, le CEPD dresse une série de constats qu’il juge globalement positifs, cependant il attire notre attention sur certains axes d’amélioration.
Il note notamment que plusieurs autorités de contrôle ont fait remonter l’insuffisance de ressources que le DPO (interne ou externe) pouvait consacrer à ses missions, notamment lorsque celui-ci est mutualisé. Ceci ressort par ailleurs directement de plusieurs décisions de sanction des homologues de la CNIL en Belgique et au Luxembourg.
Le CEPD incite les responsables de traitement et les sous-traitants à permettre à leur DPO de disposer du temps nécessaire pour actualiser leurs connaissances.
Il incite également les autorités de contrôle à développer des formations (à l’instar du Mooc de la CNIL) et à recourir à des mécanismes de certification. Il cite en exemple la certification des compétences du DPO mise en place par la CNIL via le référentiel du 20 septembre 2018. Pour préparer au mieux votre certification délivrée par AFNOR Certification, 1er organisme certificateur agréé par la CNIL, nous ne pouvons que vous recommander la formation HS2 dans laquelle nous avons le plaisir d’intervenir depuis sa création : )
Pour revenir à l’étude du CEPD, elle attire notre attention sur la nécessité de définir les missions du DPO afin que celles-ci puissent être menées en indépendance et rapportées au niveau le plus élevé de la hiérarchie de l’entité.
Et pour la suite :
À la suite de ses travaux, le CEPD :
- A annoncé une mise à jour de ses lignes directrices portant sur les DPO, notamment sur la notion de conflit d’intérêts au regard du récent arrêt de la CJUE2,
- Incite les autorités de contrôle à publier des modèles de lettre de mission et de rapport annuel afin de guider les DPO,
- Incite les autorités de contrôle à encourager à l’élaboration de normes sectorielles sur les conditions du rapport direct des DPD aux organes les plus élevés des entités.
Sur le même sujet :
Nous ne pouvons que vous conseiller la lecture de l’excellente étude réalisée et publiée par Bruno Rasle : « Il faut sauver le soldat DPO ». Parfaite mise en perspective de l’étude du CEPD, l’étude de Bruno repose quant à elle sur ses échanges avec des DPO illustrant la réalité de leur travail au quotidien.
Guide du DPO de la CNIL https://www.cnil.fr/fr/le-guide-du-delegue-la-protection-des-donnees
