[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fs5_kdvUfyQVMFqjiHKjkJ2yGNST2rJQg-53AHA4kI1w":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":67,"imageUrl":75,"imageThumbUrls":76,"id":84},true,"### Les grandes missions du DPO\n\n* * *\n\nLes missions du délégué à la protection des données (DPO) sont encadrées par **l’article 39 du RGPD** (règlement général sur la protection des données).\n\nLe DPO est principalement chargé :\n\n- d’**informer** et de **conseiller** le responsable de traitement ou le sous-traitant ainsi que leurs employés ;\n- de **contrôler le respect du règlement et du droit national** en matière de protection des données ;\n- de **conseiller l’organisme sur la réalisation d’une analyse d’impact** relative à la protection des données et d’en vérifier l’exécution ;\n- de **coopérer avec l’autorité de contrôle** et d’**être le point de contact** de celle-ci.\n\nLes missions du DPO couvrent l’**ensemble des traitements** mis en œuvre par l’organisme qui l’a désigné.\n\n> \n> \n> Les modalités de désignation d'un DPO se trouvent dans [cet article](https://www.dastra.eu/fr/article/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392)\n> \n\n## Contrôle du respect du RGPD\n\nMission significative du DPO, il lui revient la tâche de **contrôler le respect du RGPD**.\n\nLe RGPD va même plus loin, il indique au DPO, au sein du considérant 97, **d’aider le responsable du traitement ou du sous-traitant, à vérifier le respect, au niveau interne, du présent règlement**.\n\nQu’entend-on par “contrôler le respect du RGPD” ? Cela peut se traduire par :\n\n- **recueillir des informations** permettant de recenser les activités de traitement;\n- **analyser et vérifier** la conformité des activités de traitement;\n- **informer et conseiller** le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention.\n\nAttention : le contrôle du RGPD par le DPO **ne signifie pas qu’il sera personnellement responsable en cas de non-respect de celui-ci**.\n\n> \n> \n> [**Dastra vous accompagne dans votre mise en conformité RGPD, découvrez notre solution ici**](https://www.dastra.eu/fr/).\n> \n\n## L'analyse d'impact et la mission de conseil du DPO\n\nLa responsabilité de réaliser, si nécessaire, une analyse d’impact incombe au responsable du traitement.\n\nNéanmoins, dans le cadre de sa **mission de conseil**, le DPO peut être sollicité par le responsable de traitement.\n\nAinsi, le DPO **dispense des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données** conformément à l’article 39 du RGPD.\n\n> \n> \n> L’ancien G29, aujourd’hui remplacé par le comité européen de la protection des données (CEPD) **recommande que le responsable du traitement demande conseil au DPO** sur les questions suivantes notamment :\n> \n> - la question de savoir s’il **convient ou non de procéder à une analyse d’impact relative** à la protection des données ;\n> - la **méthodologie** à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;\n> - la question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en **interne ou de la sous-traiter** ;\n> - les **mesures** (y compris des mesures techniques et organisationnelles) **à appliquer pour atténuer les risques éventuels** pesant sur les droits et les intérêts des personnes concernées ;\n> - la question de savoir si l’analyse d’impact relative à la protection des données a été **correctement réalisée et si ses conclusions** (opportunité ou non de procéder au traitement et garanties à mettre en place) **sont conformes au RGPD**.\n> \n> \n\nEn cas de **désaccord** entre le responsable de traitement et l’avis fourni par le DPO, il convient de **documenter et justifier par écrit la raison pour laquelle l’avis du DPO n’a pas été retenu**.\n\n> \n> \n> [**Dastra propose un module simple et coopératif d'analyse d'impact, découvrez notre solution ici**](https://www.dastra.eu/fr/).\n> \n\n## Approche fondée sur les risques et le DPO\n\nCette approche incite le DPO à établir des **priorités dans les activités réalisées et concentre ses efforts sur les sujets représentant un risque élevé en matière de protection des données**.\n\n> \n> \n> Attention : cela signifie que le DPO va, en premier lieu, se **concentrer** sur les secteurs et opérations de traitement présentant un **niveau de risque élevé** ;  \n> \n> **En aucun cas** le DPO négligera la vérification de la conformité des opérations de traitement présentant un **niveau de risque inférieur**.\n> \n\nCette approche sélective devrait aider les DPO à conseiller le responsable du traitement sur :\n\n- la **méthode** à utiliser lors de la réalisation d’une analyse d’impact sur la protection des données,\n- les **domaines** qui devraient être soumis à un **audit interne ou externe** en matière de protection des données,\n- les **activités de formation** à proposer au personnel ou aux membres de l’encadrement responsables des activités de traitement des données\n- les **opérations de traitement** auxquelles il devrait consacrer une **part plus importante de son temps et de ses ressources**.\n\n## Rôle du DPO dans la tenue du registre\n\nEn théorie, en vertu de l’article 30, paragraphes 1 et 2 du RGPD, c’est le **responsable du traitement ou le sous-traitant**, et non le DPO, qui doit :\n\n1. tenir un **registre des activités de traitement effectuées sous sa responsabilité**\n2. ou un **registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement**.\n\nDans la pratique, ce sont souvent les **DPO** qui **dressent des inventaires et tiennent un registre des opérations de traitement** sur la base des informations qui leur ont été fournies.\n\nL’article 39, paragraphe 1, établit une liste des missions que le DPO doit **au moins se voir confier**.\n\nPar conséquent, **rien ne s’oppose à** ce que le responsable du traitement ou le sous-traitant confie au DPO la **mission de tenir le registre** des opérations de traitement effectuées sous la responsabilité du responsable du traitement ou du sous-traitant.\n\nCe registre est ainsi considéré comme un **outil** permettant au DPO d'exercer ses missions de **contrôle du respect du RGPD** ainsi que de réaliser sa **mission d'information et de conseil** du responsable de traitement ou du sous-traitant.\n\nEn tout état de cause, le **registre** est également un **outil** permettant au responsable du traitement et à l'autorité de contrôle de **disposer, sur demande,** d'une **vue d'ensemble de toutes les activités de traitements de données à caractère personnel effectuées par un organisme**.\n\n> \n> \n> [**Dastra vous accompagne dans la réalisation de votre registre, découvrez notre solution ici**](https://www.dastra.eu/fr/).\n> \n\n## La coopération avec l’autorité de contrôle\n\nL’une des autres missions du délégué est d’être le **point de contact pour l’autorité de protection des données et de coopérer avec elle**.\n\nA ce titre, le délégué doit **faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité**.\n\n> \n> \n> Par exemple :\n> \n> - lors d’échanges avec l’autorité dans l’instruction d’une plainte,\n> - ou en cas besoin de précisions sur un projet en cours\n> - ou bien encore, dans le cadre d’un contrôle de l’autorité.\n> \n> \n\n**L’obligation de confidentialité ou de secret professionnel** du délégué ne doit **pas l’empêcher de demander conseil à l’autorité sur tout sujet, si nécessaire**.\n\n> \n> \n> **Pour continuer,** [**découvrez les 4 étapes de la désignation d'un DPO**](https://www.dastra.eu/fr/guide/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392)\n>","\u003Ch3 id=\"les-grandes-missions-du-dpo\">Les grandes missions du DPO\u003C/h3>\n\u003Chr />\n\u003Cp>Les missions du délégué à la protection des données (DPO) sont encadrées par \u003Cstrong>l’article 39 du RGPD\u003C/strong> (règlement général sur la protection des données).\u003C/p>\n\u003Cp>Le DPO est principalement chargé :\u003C/p>\n\u003Cul>\n\u003Cli>d’\u003Cstrong>informer\u003C/strong> et de \u003Cstrong>conseiller\u003C/strong> le responsable de traitement ou le sous-traitant ainsi que leurs employés ;\u003C/li>\n\u003Cli>de \u003Cstrong>contrôler le respect du règlement et du droit national\u003C/strong> en matière de protection des données ;\u003C/li>\n\u003Cli>de \u003Cstrong>conseiller l’organisme sur la réalisation d’une analyse d’impact\u003C/strong> relative à la protection des données et d’en vérifier l’exécution ;\u003C/li>\n\u003Cli>de \u003Cstrong>coopérer avec l’autorité de contrôle\u003C/strong> et d’\u003Cstrong>être le point de contact\u003C/strong> de celle-ci.\u003C/li>\n\u003C/ul>\n\u003Cp>Les missions du DPO couvrent l’\u003Cstrong>ensemble des traitements\u003C/strong> mis en œuvre par l’organisme qui l’a désigné.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Les modalités de désignation d'un DPO se trouvent dans \u003Ca href=\"https://www.dastra.eu/fr/article/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392\">cet article\u003C/a>\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"controle-du-respect-du-rgpd\">Contrôle du respect du RGPD\u003C/h2>\n\u003Cp>Mission significative du DPO, il lui revient la tâche de \u003Cstrong>contrôler le respect du RGPD\u003C/strong>.\u003C/p>\n\u003Cp>Le RGPD va même plus loin, il indique au DPO, au sein du considérant 97, \u003Cstrong>d’aider le responsable du traitement ou du sous-traitant, à vérifier le respect, au niveau interne, du présent règlement\u003C/strong>.\u003C/p>\n\u003Cp>Qu’entend-on par “contrôler le respect du RGPD” ? Cela peut se traduire par :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>recueillir des informations\u003C/strong> permettant de recenser les activités de traitement;\u003C/li>\n\u003Cli>\u003Cstrong>analyser et vérifier\u003C/strong> la conformité des activités de traitement;\u003C/li>\n\u003Cli>\u003Cstrong>informer et conseiller\u003C/strong> le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention.\u003C/li>\n\u003C/ul>\n\u003Cp>Attention : le contrôle du RGPD par le DPO \u003Cstrong>ne signifie pas qu’il sera personnellement responsable en cas de non-respect de celui-ci\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">\u003Cstrong>Dastra vous accompagne dans votre mise en conformité RGPD, découvrez notre solution ici\u003C/strong>\u003C/a>.\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"lanalyse-dimpact-et-la-mission-de-conseil-du-dpo\">L'analyse d'impact et la mission de conseil du DPO\u003C/h2>\n\u003Cp>La responsabilité de réaliser, si nécessaire, une analyse d’impact incombe au responsable du traitement.\u003C/p>\n\u003Cp>Néanmoins, dans le cadre de sa \u003Cstrong>mission de conseil\u003C/strong>, le DPO peut être sollicité par le responsable de traitement.\u003C/p>\n\u003Cp>Ainsi, le DPO \u003Cstrong>dispense des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données\u003C/strong> conformément à l’article 39 du RGPD.\u003C/p>\n\u003Cblockquote>\n\u003Cp>L’ancien G29, aujourd’hui remplacé par le comité européen de la protection des données (CEPD) \u003Cstrong>recommande que le responsable du traitement demande conseil au DPO\u003C/strong> sur les questions suivantes notamment :\u003C/p>\n\u003Cul>\n\u003Cli>la question de savoir s’il \u003Cstrong>convient ou non de procéder à une analyse d’impact relative\u003C/strong> à la protection des données ;\u003C/li>\n\u003Cli>la \u003Cstrong>méthodologie\u003C/strong> à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;\u003C/li>\n\u003Cli>la question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en \u003Cstrong>interne ou de la sous-traiter\u003C/strong> ;\u003C/li>\n\u003Cli>les \u003Cstrong>mesures\u003C/strong> (y compris des mesures techniques et organisationnelles) \u003Cstrong>à appliquer pour atténuer les risques éventuels\u003C/strong> pesant sur les droits et les intérêts des personnes concernées ;\u003C/li>\n\u003Cli>la question de savoir si l’analyse d’impact relative à la protection des données a été \u003Cstrong>correctement réalisée et si ses conclusions\u003C/strong> (opportunité ou non de procéder au traitement et garanties à mettre en place) \u003Cstrong>sont conformes au RGPD\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cp>En cas de \u003Cstrong>désaccord\u003C/strong> entre le responsable de traitement et l’avis fourni par le DPO, il convient de \u003Cstrong>documenter et justifier par écrit la raison pour laquelle l’avis du DPO n’a pas été retenu\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">\u003Cstrong>Dastra propose un module simple et coopératif d'analyse d'impact, découvrez notre solution ici\u003C/strong>\u003C/a>.\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"approche-fondee-sur-les-risques-et-le-dpo\">Approche fondée sur les risques et le DPO\u003C/h2>\n\u003Cp>Cette approche incite le DPO à établir des \u003Cstrong>priorités dans les activités réalisées et concentre ses efforts sur les sujets représentant un risque élevé en matière de protection des données\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Attention : cela signifie que le DPO va, en premier lieu, se \u003Cstrong>concentrer\u003C/strong> sur les secteurs et opérations de traitement présentant un \u003Cstrong>niveau de risque élevé\u003C/strong> ;\u003C/p>\n\u003Cp>\u003Cstrong>En aucun cas\u003C/strong> le DPO négligera la vérification de la conformité des opérations de traitement présentant un \u003Cstrong>niveau de risque inférieur\u003C/strong>.\u003C/p>\n\u003C/blockquote>\n\u003Cp>Cette approche sélective devrait aider les DPO à conseiller le responsable du traitement sur :\u003C/p>\n\u003Cul>\n\u003Cli>la \u003Cstrong>méthode\u003C/strong> à utiliser lors de la réalisation d’une analyse d’impact sur la protection des données,\u003C/li>\n\u003Cli>les \u003Cstrong>domaines\u003C/strong> qui devraient être soumis à un \u003Cstrong>audit interne ou externe\u003C/strong> en matière de protection des données,\u003C/li>\n\u003Cli>les \u003Cstrong>activités de formation\u003C/strong> à proposer au personnel ou aux membres de l’encadrement responsables des activités de traitement des données\u003C/li>\n\u003Cli>les \u003Cstrong>opérations de traitement\u003C/strong> auxquelles il devrait consacrer une \u003Cstrong>part plus importante de son temps et de ses ressources\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Ch2 id=\"role-du-dpo-dans-la-tenue-du-registre\">Rôle du DPO dans la tenue du registre\u003C/h2>\n\u003Cp>En théorie, en vertu de l’article 30, paragraphes 1 et 2 du RGPD, c’est le \u003Cstrong>responsable du traitement ou le sous-traitant\u003C/strong>, et non le DPO, qui doit :\u003C/p>\n\u003Col>\n\u003Cli>tenir un \u003Cstrong>registre des activités de traitement effectuées sous sa responsabilité\u003C/strong>\u003C/li>\n\u003Cli>ou un \u003Cstrong>registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement\u003C/strong>.\u003C/li>\n\u003C/ol>\n\u003Cp>Dans la pratique, ce sont souvent les \u003Cstrong>DPO\u003C/strong> qui \u003Cstrong>dressent des inventaires et tiennent un registre des opérations de traitement\u003C/strong> sur la base des informations qui leur ont été fournies.\u003C/p>\n\u003Cp>L’article 39, paragraphe 1, établit une liste des missions que le DPO doit \u003Cstrong>au moins se voir confier\u003C/strong>.\u003C/p>\n\u003Cp>Par conséquent, \u003Cstrong>rien ne s’oppose à\u003C/strong> ce que le responsable du traitement ou le sous-traitant confie au DPO la \u003Cstrong>mission de tenir le registre\u003C/strong> des opérations de traitement effectuées sous la responsabilité du responsable du traitement ou du sous-traitant.\u003C/p>\n\u003Cp>Ce registre est ainsi considéré comme un \u003Cstrong>outil\u003C/strong> permettant au DPO d'exercer ses missions de \u003Cstrong>contrôle du respect du RGPD\u003C/strong> ainsi que de réaliser sa \u003Cstrong>mission d'information et de conseil\u003C/strong> du responsable de traitement ou du sous-traitant.\u003C/p>\n\u003Cp>En tout état de cause, le \u003Cstrong>registre\u003C/strong> est également un \u003Cstrong>outil\u003C/strong> permettant au responsable du traitement et à l'autorité de contrôle de \u003Cstrong>disposer, sur demande,\u003C/strong> d'une \u003Cstrong>vue d'ensemble de toutes les activités de traitements de données à caractère personnel effectuées par un organisme\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/\">\u003Cstrong>Dastra vous accompagne dans la réalisation de votre registre, découvrez notre solution ici\u003C/strong>\u003C/a>.\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"la-cooperation-avec-lautorite-de-controle\">La coopération avec l’autorité de contrôle\u003C/h2>\n\u003Cp>L’une des autres missions du délégué est d’être le \u003Cstrong>point de contact pour l’autorité de protection des données et de coopérer avec elle\u003C/strong>.\u003C/p>\n\u003Cp>A ce titre, le délégué doit \u003Cstrong>faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Par exemple :\u003C/p>\n\u003Cul>\n\u003Cli>lors d’échanges avec l’autorité dans l’instruction d’une plainte,\u003C/li>\n\u003Cli>ou en cas besoin de précisions sur un projet en cours\u003C/li>\n\u003Cli>ou bien encore, dans le cadre d’un contrôle de l’autorité.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cp>\u003Cstrong>L’obligation de confidentialité ou de secret professionnel\u003C/strong> du délégué ne doit \u003Cstrong>pas l’empêcher de demander conseil à l’autorité sur tout sujet, si nécessaire\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Cstrong>Pour continuer,\u003C/strong> \u003Ca href=\"https://www.dastra.eu/fr/guide/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392\">\u003Cstrong>découvrez les 4 étapes de la désignation d'un DPO\u003C/strong>\u003C/a>\u003C/p>\n\u003C/blockquote>\n",null,1183,7,"Les missions du Délégué à la protection des données (DPO)",0,"fr","les-missions-du-dpo","Quelles sont les missions et responsabilités du Data Protection Officer (DPO) au sein de l'organisation ? ",false,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":7,"blogUrl":7,"color":7,"userId":18,"creationDate":21},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2021-12-02T10:18:00","2022-03-24T13:40:58.2867472","2026-04-20T12:24:17.0817844",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":12,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":7,"imageUrl":7,"parent":52,"order":57,"translations":58},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":53},[54,55,56],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},5,[59,61,64],{"lang":12,"name":48,"description":60},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":38,"name":62,"description":63},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":35,"name":65,"description":66},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[68,72],{"typeMetaDataId":69,"value":70,"id":71},3,"Découvrir notre solution pour DPO",101979,{"typeMetaDataId":26,"value":73,"id":74},"https://www.dastra.eu/fr/contact?type=Demo",101980,"https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-1000.png",[77,78,79,80,81,82,83],"https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-1000.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-1500.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-800.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-600.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-300.webp","https://static.dastra.eu/content/7b0a7597-5e59-4ff4-9ce4-e7c2a2cd78c7/data-center-girl-100.webp",51090]