La désignation officielle d’un DPO au sein de votre entreprise permettra d’éviter toutes les déclarations à la CNIL, dites normales ou simplifiées, prévues aux articles 23 et 24 de la loi n° 78-17 dite Loi Informatique et Libertés du 6 janvier 1978 modifiée.
Le DPO désigné effectuera les missions suivantes :
Tenue du registre des traitements
Le DPO est ainsi chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la loi.
Création du registre
Dans les trois mois de sa désignation, le correspondant dresse la liste des traitements automatisés pour lesquels il a été désigné. Ce document est également appelé registre des traitements.
Après avoir dressé la liste préliminaire des traitements automatisés de données nominatives, il rend un avis après consultation préalable, à la mise en œuvre des traitements. Il fait à cette fin, toute recommandation au responsable de traitement.
Déclarations et actualisations du registre
Le DPO a la responsabilité de tenir à jour la liste des traitements internes de l’organisme, répertoriant tous les traitements mis en oeuvre par celui-ci, qu’il autorise ainsi sous sa propre responsabilité, à condition que ceux-ci satisfassent aux obligations de la loi, des textes et décrets, autorisations, dispenses, arrêtés et délibérations de la CNIL.
La désignation d’un DPO par l’organisme emporte dispense de l’accomplissement, auprès de la CNIL, des formalités relatives aux traitements relevant du régime de simple déclaration. Ces traitements sont portés par le CIL au registre de l’établissement (articles 22 à 24 de la loi du 6 janvier 1978 dans le cadre du régime de la déclaration).
Accès libre au registre par les tiers
Tout comme ce « fichier des fichiers » (ou Liste 31) de la CNIL, le registre du DPO répond à un objectif de transparence.
Ainsi toute personne sans avoir à en justifier peut faire une demande à la CNIL des traitements qui ont été déclarés par tout organisme, mais également auprès du DPO de l’organisme, de son registre (Article 31 de la Loi 78-17 du 6 janvier 1978 modifiée).
Ca change en 2018 :
Accessibilité au registre du DPO mutualisé
Le correspondant mutualisé se trouve dans la plupart des cas, géographiquement éloigné de l’organisme qui l’a désigné. Il est ainsi dispensé d’avoir à envoyer un exemplaire de son registre à l’organisme. Il organisera en contrepartie un accès distant sur l’intranet de l’entité ou un site internet sécurisé.
Garant de l’application de la Loi
Respect de la Loi
Il veille en toute indépendance au respect de la Loi Informatique et Libertés (Loi LIL). Le DPO se doit de veiller à la bonne application de la loi et plus spécifiquement la Loi Informatique et Libertés. Il assure, d’une manière indépendante et sans aucun lien de hiérarchie, le respect des obligations prévues par la LIL.
Responsable de la conformité juridique
Responsable de conformité juridique au sein de l’organisme qui l’a désigné, le DPO est obligatoirement consulté préalablement à la mise en œuvre de tout traitement de données personnelles et doit veiller à ce que ce traitement soit strictement conforme aux dispositions de la Loi Informatique et Libertés.
Charte informatique
Il est chargé de veiller à l’application et à l’actualisation des dispositions de la charte informatique si elle existe, destinée à l’ensemble des salariés, qui définit les bonnes pratiques liées à l’usage des technologies de l’information et de la communication et présente la liste des informations nominatives enregistrées lors de leur utilisation.
Culture informatique et libertés
Le correspondant sensibilise le responsable de traitement et les personnes en charge de leur mise en œuvre au contenu de la loi et aux enjeux de la mise en conformité. Il peut élaborer des supports d’information, des documents internes de référence, organiser des missions d’audit, notamment en matière de protection des données et de sécurité informatique et technique des systèmes d’informations de l’organisme.
Cette diffusion de la « culture Informatique et Libertés » dans l’organisme s’effectue auprès des salariés, des dirigeants, voire des intervenants et des bénéficiaires.
Conseils ou recommandations
Il donne tous conseils ou recommandations utiles au responsable de traitement.
Le correspondant répond aux demandes de renseignements et d’avis dont il est saisi. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et doit faire si besoin toute recommandation au responsable de traitement.
Acteur de médiation et de coordination auprès des tiers
Le correspondant reçoit les réclamations et requêtes des personnes concernées par les traitements pour lesquels il a été désigné, s’assure de leur transmission aux services intéressés et leur apporte son conseil.
Il veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. Il est le contact privilégié du responsable de traitement et de la CNIL, mais aussi des personnes dont les données sont traitées.
II assure le respect des droits d’accès des personnes
art. 39 de la loi Informatique et Libertés
a) Toute personne peut obtenir communication des informations la concernant détenues par un responsable de traitement. L’exercice de ce droit n’a pas à être motivé.
b) Le CIL doit se charger de préparer le responsable de traitement à la réception et au suivi des réclamations et requêtes des personnes concernées par ces traitements et de les transmettre aux services intéressés en s’assurant que les réponses sont données dans les formes et délais prévus par la loi.
c) Il assiste le responsable de traitement et lui transmet ses conseils dans la réponse apportée au requérant. Il doit veiller au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits, aussi bien à l’intérieur qu’à l’extérieur de l’organisme.
d) Relativement aux données à caractère personnel d’un individu, il s’assure le respect du droit d’accès, d’opposition, de rectification, de suppression des données, ainsi que de l’information des personnes concernées sur leurs droits.
Il a un devoir d’alerte du responsable de traitement
Il doit informer le responsable de traitement de tout manquement ou infraction constatés et le conseiller dans la réponse à apporter pour y remédier.