Quelles différences entre les missions du DPO et celles du CIL ?
La différence majeure existant entre le Correspondant Informatique et Libertés et le Data Protection Officer réside avant tout dans le fait que la nomination d’un DPO est obligatoire pour toutes les entreprises concernées par le RGPD, alors que celle d’un CIL ne l’est pas, bien que son expertise soit fortement recommandée.
L’obligation de nomination d’un DPO est clairement énoncée dans l’article 38 du RGPD, point 2 : « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».
Une obligation qui ne figure nulle part dans la loi Informatique et Libertés en ce qui concerne le CIL. Le Correspondant Informatique et Libertés, contrairement au Délégué à la Protection des Données, n’a donc aucune obligation de formation continue. Car outre sa nomination obligatoire, le DPO a également pour obligation de se former continuellement, afin de répondre aux exigences nouvelles du RGPD, en opposition au CIL dont les compétences exigées sont nettement plus floues. En effet, alors que la loi Informatique et Libertés prévoit que le CIL doit « avoir les compétences nécessaires pour exercer ses missions » ; les exigences concernant le DPO sont clairement précisées dans l’article 37 du RGPD, Point 5 : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».
Dernière différence notable, le Data Protection Officer est tenu à une exigence de confidentialité quant aux missions qu’il mène, tandis que le CIL ne l’est pas de manière explicite.
Les entreprises ne possédant pas de CIL avant l’entrée en vigueur du RGPD, sont désormais dans l’obligation d’avoir recours à un DPO. Elles ont donc tout intérêt à employer une personne déjà formée aux nouvelles exigences en règle de protection des données, ou bien à former en interne un référent. Une question se pose alors pour les entreprises qui ont déjà recours aux services d’un CIL, le Correspondant Informatique et Libertés a-t-il vocation à devenir DPO ?