accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Cinq ans après l’entrée en application du RGPD, la CNIL dresse un bilan du rôle et des moyens alloués au DPO

AAI
CNIL, actualités, 17 janv. 2024 (DPO)
[18.01.2024]

Dans le cadre d’une action coordonnée par le Comité européen de la protection des données (CEPD), la Commission nationale de l'informatique et des libertés (CNIL) a mené en 2023 des contrôles auprès d’organismes publics et privés pour vérifier le rôle et les moyens confiés à leur délégué à la protection des données (DPO). Elle en dresse un bilan « globalement positif » mais a relevé « certains manquements ».

Cinq ans après l’entrée en application du RGPD, il ressort de cette campagne de contrôles que les organismes ont bien pris en compte les obligations liées aux missions du délégué. Ce dernier « dispose généralement de moyens suffisants à l’accomplissement de ses missions et est, le plus souvent, associé aux décisions en lien avec les données personnelles ». Toutefois, les réponses apportées soulignent l’« importante disparité de moyens entre DPO de grandes entreprises et ceux des petites collectivités » : le délégué « public » exerce souvent ses fonctions seul tandis que le délégué « privé » dispose généralement d’une équipe.

La CNIL a adopté des mesures correctrices (mise en demeure ou rappel aux obligations légales) à l’encontre de quelques organismes, en raison notamment de l’existence de conflits d’intérêts entre les missions du délégué et d’autres tâches qui lui sont affectées ou de l’absence d’association du délégué aux problématiques liées à la protection des données. En dehors du cadre de l’action coordonnée européenne, le régulateur a sanctionné un organisme du secteur social d’une amende de 10 000 € pour des manquements à l’article 38 du RGPD. Le délégué n’était en effet pas en mesure d’exercer correctement ses missions, notamment car il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme.