Charte de déontologie du DPO

Les Délégués à la protection des données (souvent appelés DPO, pour Data Protection Officer), jouent un rôle important en tant que conseillers des responsables de traitements ou des sous-traitants, afin de veiller au respect des libertés et des droits fondamentaux des personnes concernées.

C’est dans cet esprit que l’AFCDP a conçu la Charte de déontologie du DPO afin de promouvoir une culture de l’éthique parmi les Délégués à la protection des données désignés auprès de la CNIL au titre du Règlement Général sur la Protection des Données (RGPD).

Liste des chartes


Liste des DPO et des Responsables de traitement ayant cosigné la Charte de déontologie du DPO

Le document joint liste les Chartes de déontologies qui ont été renvoyées signées par les DPO et leur Responsables de traitement, avec la date de signature. Vous avez signé la Charte et ne figurez pas sur cette liste ? Merci de prendre contact avec l'AFCDP []

Charte de déontologie du DPO

Pourquoi une Charte de Déontologie du DPO ?

Les données personnelles ne sont pas des données comme les autres et leur traitement implique une série d’obligations.

Les Délégués à la protection des données (souvent appelés DPO, pour Data Protection Officer), jouent un rôle important en tant que conseillers des responsables de traitements ou des sous-traitants, afin de veiller au respect des libertés et des droits fondamentaux des personnes concernées.

C’est dans cet esprit que l’Association Française des Correspondants à la protection des Données à caractère Personnel a conçu la présente Charte de déontologie, afin de promouvoir une culture de l’éthique parmi les Délégués à la protection des données désignés auprès de la CNIL au titre du Règlement Général sur la Protection des Données (RGPD).

Ce document formule les règles de conduite qui doivent régir l’action de tout Délégué à la protection des données. La présente charte contribue donc à la bonne application du règlement 2016/679 du 27 avril 2016 et des lignes directrices sur les DPO adoptées le 5 avril 2017 par le Groupe de travail Article 29 (WP 243).

Charte de déontologie du DPO

Les Délégués à la protection des données créent de la valeur : ils aident différents types d’organisations, publiques ou privées, à atteindre leurs objectifs stratégiques tout en protégeant leurs actifs immatériels et en veillant à la conformité des actions et processus avec la règlementation en vigueur sur la protection des données personnelles.

Par conséquent, il est nécessaire et pertinent que la profession se dote d’une Charte de déontologie, pour entretenir la confiance des organismes concernés envers ces professionnels et pour garantir la confidentialité, la qualité et le caractère intègre de leurs démarches et de leurs conseils.

Le Délégué à la protection des données contribue à la réduction des risques qui pèse sur le Responsable de traitement. La Charte est donc également bénéfique aux responsables de traitements et aux sous-traitants, en ce qu’elle leur permet de savoir ce qu’ils peuvent attendre de leurs relations avec les professionnels, mais aussi du concours qu’ils doivent leur apporter afin de participer du succès de leur fonction et de leurs missions.

Par la signature de cette Charte, le Délégué à la protection des données prend des engagements forts. Mais ceux-ci s’appuient nécessairement sur le soutien du responsable de traitement ou du sous-traitant. C’est pourquoi cette Charte doit également être signée par ces derniers.

Comment adhérer à la Charte de Déontologie du DPO ?

L’adhésion à la Charte est volontaire, pleine et entière, gratuite et ne nécessite pas la qualité de membre de l’AFCDP.

Peuvent adhérer à la Charte :

  • les Délégués à la protection des données internes (collaborateurs de l’organisme) ;
  • les Délégués à la protection des données externes (personne physique ou représentant de la personne morale désignée), agissant en tant que prestataire ;
  • les Délégués à la protection des données mutualisés (personne physique ou représentant de la personne morale désignée) désignés par plusieurs responsables de traitement ou sous-traitants.

Au sens de cette Charte, est Délégué à la protection des données (DPD, ou DPO, pour Data Protection Officer) toute personne physique ou morale en charge de veiller au respect du RGPD, désigné officiellement par un responsable de traitement ou un sous-traitant auprès d’une autorité de contrôle, soit de façon obligatoire au titre de l’article 37 du RGPD, soit désigné de façon volontaire.

La perte de la qualité de Délégué à la protection des données met fin d’office à l’adhésion à la Charte.

Pour être valide, la Charte doit également porter la signature du Responsable de traitement ou du sous-traitant.

La présente Charte peut être invoquée par l’ensemble des Délégués à la protection des données qui souhaitent s’en prévaloir à l’égard d’un Responsable de traitement, d’un sous-traitant, d’un employeur, de partenaires internes et externes des organismes, de la CNIL, de confrères ainsi qu’à l’égard des personnes concernées au sens de l’article 4 du RGPD.

L’adhésion à la Charte se fait simplement en adressant à l’AFCDP ( 1 rue de Stockholm 75008 PARIS) un exemplaire portant les signatures du Délégué à la protection des données et du Responsable de traitement ou du sous-traitant qui l’a désigné, accompagné des coordonnées professionnelles afin d’être averti de toute évolution de la Charte.

En apposant leurs signatures sur le document, le Délégué à la protection des données et le Responsable de traitement/sous-traitant prennent l’engagement d’en respecter les principes.

Logo de la Charte de Déontologie du DPO
Logo de la Charte de Déontologie du DPO

Cette adhésion peut se matérialiser par l’apposition d’un logo spécifique (téléchargeable sur le site web de l’AFCDP). Ce logo est la propriété intellectuelle de l’AFCDP et ne doit pas être utilisé de façon ostentatoire, notamment en termes de taille relative et d’occurrences. En aucun cas ce logo ne peut être interprété comme une garantie de qualité ou un jugement de valeur par l’AFCDP sur le professionnel qui l’arbore. À chaque fois que le logo est utilisé sur un site Web, un lien doit être établi vers la page qui présente le texte de la Charte afin que tous puissent prendre connaissance des engagements pris. (Nous contacter pour obtenir le logo en haute définition, afin de le faire apparaitre sur vos documents et plaquettes).

Sur le site web de l’AFCDP est publiée la liste des Délégués à la protection des données qui ont signé la charte, pour ceux qui le souhaitent.


English DPOs Charter of Deontology

With the application of the GDPR, thousands of Data Protection Officers are getting appointed. On the occasion of this significant development, the profession is adopting ethical rules.

AFCDP, French organisation that brings DPOs together and represents them, is publishing a Charter of Deontology in order to promote a culture of ethics and to ensure the positive development of the profession.

Data Protection Officers create value : they help different types of organisations, public or private, to achieve their strategic objectives while protecting their intangible assets and ensuring that actions and processes are in compliance with current regulations on the protection of personal data.

It is therefore necessary and appropriate for the profession to adopt a Charter of Deontology in order to maintain the confidence of the stakeholders in these professionals, as well as to guarantee the confidentiality, quality and integrity of their approaches and advice.

Data Protection Officers contribute to reducing the risks for data controllers. Therefore, this Charter is also beneficial to controllers and processors, insofar as it allows them to know what they can expect from their relations with their DPO, but also from the assistance they must provide in order to participate in the success of their tasks and missions.

By signing this Charter, the Data Protection Officer makes strong commitments. These necessarily rely on the support of the controller or processor. This is why this Charter must also be signed by them.

"We began our reflections on this Charter several years ago. It is the fruit of the work of a group of passionate members. We have also benefited from very constructive comments from the CNIL, which have been integrated and which gives value to our approach," says Paul-Olivier Gibert, President of the AFCDP.

By signing this document, the Data Protection Officer undertakes, for example, to accept a designation only if he considers himself of herself competent to do so, which means that he or she has the necessary knowledge and resources to perform the function under the best possible conditions. The signing DPOs also undertake to "establish contacts with their colleagues to encourage exchanges of experience and the sharing of best practices and to invest in passing on their expertise to trainees or apprentices whom they could accompany".

Concerning the relationship between the Data Protection Officer and the data processor/controller, the Charter states that it is based on "trust and openness and requires that the professional’s approach be honest, faithful and diligent".

The Charter also provides for the end of the mission : "The data processor/controller shall ensure that the internal DPO pursues a normal career within the organization once his/her mission is completed".

The Charter also concerns external DPOs (as the GDPR allows controllers and processors to appoint DPOs under a service contract). Indeed, it deals with the absence and prevention of conflicts of interest." I encourage business leaders who wish to appoint me as their external DPO to sign the Charter. The ease with which they see it is for me an indicator of the quality of the conditions under which I carry out my mission with them," says Christophe Champoussin, Administrator of the AFCDP and data protection consultant.

Albine Vincent, head of the Data Protection Officers’ Service at the CNIL, stated that "The Charter of Deontology drawn up by the AFCDP is particularly emblematic of the professionalization of the DPOs. Every tool helping them in their activities is welcome.".

The very first Charter was signed by Damien Guermonprez, Managing Director of Lemonway, a fintech specialising in secure payment for the new economy : "As a data controller, I have to assume legal risks. It is therefore natural that I give my full support to the Data Protection Officer I have appointed. Indeed, I am the first beneficiary of the effectiveness of his actions". One of the first DPOs to have endorsed this ethical commitment adds "The joint examination of this Charter before signing it with the CEO of our company is a very useful exercise, because it makes it possible to review with the data controller the objectives and outlines of DPO’s mission".