📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 39 du RGPD : Mission du délégué à la protection des données

Sommaire

Introduction 

L’article 39 du RGPD précise concrètement les missions confiées au DPO. Il énumère ses principales responsabilités : informer et conseiller le responsable du traitement et les employés sur leurs obligations, contrôler le respect du règlement, coopérer avec l’autorité de contrôle et servir de point de contact pour celle-ci. Cet article traduit le rôle opérationnel du DPO au cœur de la mise en conformité continue de l’entité, en faisant de lui un acteur stratégique du respect des droits et libertés des personnes concernées.

Explication de l’article 

L’article 39 du RGPD définit les missions principales du Data Protection Officer (DPO). Son rôle s’articule autour de cinq grandes responsabilités :

  • Informer et conseiller les responsables de traitement, les sous-traitants ainsi que les collaborateurs sur leurs obligations en matière de protection des données personnelles.
  • Surveiller le respect du RGPD, des réglementations nationales en vigueur, ainsi que des politiques internes ou codes de conduite adoptés.
  • Donner un avis, en particulier lors de la réalisation d’analyses d’impact sur la protection des données.
  • Coopérer avec l’autorité de contrôle (comme la CNIL) et agir comme point de contact sur les questions liées aux traitements de données.
  • Contribuer à la maîtrise des risques liés aux traitements de données, en identifiant les points de vigilance et en accompagnant leur gestion.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Les missions du délégué à la protection des données sont au moins les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d) coopérer avec l’autorité de contrôle;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 17

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:

(….)

– lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:

– d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,

– de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 57

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

 Article 49 

Abrogé par Décret n°2018-687 du 1er août 2018 – art. 19
Modifié par Décret n°2007-451 du 25 mars 2007 – art. 17 () JORF 28 mars 2007

Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné.

A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l’ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l’article 47.

Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l’article 47. Lorsqu’elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l’informatique et des libertés.

Il établit un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la commission.

Analyse des 3 textes qui précèdent 

L’article 39 du RGPD définit de manière détaillée les missions minimales du DPO, qui sont au nombre de trois principales :

1. Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés impliqués sur leurs obligations en vertu du RGPD et autres règles de protection des données, notamment en matière d’analyse d’impact (article 35 RGPD).

2. Contrôler la conformité des traitements au RGPD, aux lois de l’Union ou de l’État membre ainsi qu’aux règles internes, y compris la répartition des responsabilités, la formation et la sensibilisation du personnel, et la réalisation d’audits.

3. Être point de contact avec l’autorité de contrôle pour toutes questions liées au traitement, y compris la consultation préalable prévue à l’article 36 RGPD, et coopérer avec celle-ci.

L’article souligne également que le DPO doit tenir compte du risque lié aux opérations de traitement selon leur nature, portée, contexte et finalités.​

La directive 95/46 CE encadrait plus sommairement les missions du DPO, focalisées sur le rôle de garant indépendant que le DPO joue pour veiller à la conformité des traitements et à la protection des droits des personnes concernées. Il devait notamment assurer l’application interne des obligations nationales issues de la directive, ainsi que tenir un registre des traitements, mais sans détailler les aspects de formation, sensibilisation, ou rôle de point de contact avec l’autorité comme dans le RGPD.​

La Loi Informatique et Libertés va dans le sens d’une pratique assez proche du RGPD, même si moins riche formellement :

  • Le correspondant Informatique et Libertés peut faire des recommandations au responsable,
  • Il est consulté en amont sur les nouveaux traitements devant figurer dans le registre,
  • Il reçoit et oriente les demandes et réclamations des personnes concernées,
  • Il doit établir un bilan annuel de ses activités.

Ces rôles correspondent aux fonctions d’information, de conseil et de point de contact, mais la fonction de contrôle et les autres obligations formelles du RGPD sont moins explicites dans ce décret antérieur

Jurisprudences 

Européennes 

Affaire Robin Srl (Italie, 31 août 2023)

Sanction de 25,000 euros d’amende

Le DPO aurait dû être impliqué pour conseiller sur la conformité des traitements, contrôler l’application des règles, sensibiliser le personnel et être point de contact pour gérer les réclamations. Le manquement révèle un défaut dans l’exercice des missions d’information, de conseil et de contrôle prévues par l’article 39 du RGPD, qui vise à prévenir de telles violations et garantir les droits des personnes concernées

Françaises 

C.E., n° 459454 (21 octobre 2022) 

Cette décision du Conseil d’État français porte aussi sur le rôle crucial du DPO dans le contrôle de la conformité des traitements et la protection des droits des personnes. Le DPO doit s’assurer que les traitements respectent les obligations prévues par le RGPD, dont le principe de licéité, de transparence et de protection des données. La décision souligne aussi la fonction du DPO comme interlocuteur avec l’autorité de contrôle (CNIL) pour coopérer et gérer les incidents éventuels. Elle illustre donc l’application pratique des missions définies à l’article 39.

Recommandations 

CEPD 

Designation and Position of Data Protection Officers (16 January 2024) – (english)

G29 

Lignes directrices concernant les délégués à la protection des données (« DPOs ») – wp243rev.01 (5 april 2017)

CNIL 

Guide pratique: délégués à la protection des données

Référentiel: Certification des compétences du DPO (20 septembre 2018)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.