Bilan des contrôles de la CNIL sur le DPO

Actualité
RH RGPD

Dans le cadre d’une action coordonnée par le Comité européen de la protection des données (CEPD), la CNIL a mené en 2023 des contrôles auprès d’organismes publics et privés pour vérifier le rôle et les moyens confiés à leur délégué.

Bilan des contrôles de la CNIL sur le DPO
Publié le
Télécharger en PDF

Pour cette deuxième édition de l’action coordonnée au niveau européen (coordinated enforcement framework) du Comité européen de la protection des données, les autorités de protection des données de l’Union européenne ont mené une évaluation à grande échelle des moyens accordés aux délégués à la protection des données (DPD ou DPO) par les structures qui en ont désigné. Le CEPD a publié son rapport et ses préconisations.

Un bilan globalement positif mais une disparité de moyens :

Dans ce contexte, la CNIL a adressé des questionnaires à 14 organismes publics (hôpital, université, rectorat, commune ou intercommunalité, centre de gestion) et privés (travaillant dans le secteur du luxe ou des transports) et a également mené plusieurs contrôles sur place.

Cinq ans après l’entrée en application du RGPD, il ressort de cette campagne de contrôles que les organismes ont bien pris en compte les obligations liées aux missions du délégué. Ce dernier dispose généralement de moyens suffisants à l’accomplissement de ses missions et est, le plus souvent, associé aux décisions en lien avec les données personnelles.

Toutefois, les réponses apportées soulignent l’importante disparité de moyens entre DPO de grandes entreprises et ceux des petites collectivités : le délégué « public » exerce souvent ses fonctions seul tandis que le délégué « privé » dispose généralement d’une équipe.

Des manquements sanctionnés :

Dans le cadre de cette action coordonnée et à la suite de ses contrôles, a CNIL a adopté des mesures correctrices (mise en demeure ou rappel aux obligations légales) à l’encontre de quelques organismes, en raison notamment de l’existence de conflits d’intérêts entre les missions du délégué et d’autres tâches qui lui sont affectées ou de l’absence d’association du délégué aux problématiques liées à la protection des données.

En dehors du cadre de l’action coordonnée européenne, la CNIL a sanctionné un organisme du secteur social d’une amende de 10 000 euros pour des manquements à l’article 38 du RGPD. Le délégué n’était en effet pas en mesure d’exercer correctement ses missions, notamment car il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme.

Communiqué CNIL du 17 janvier 2024.