L’article 37 du Règlement Européen sur la protection des données à caractère personnel (ci-après LE « RGPD ») impose aux responsables de traitement ou sous-traitants, dans certains cas, de désigner un délégué à la protection des données (ci-après le « DPO »). Sa fonction et ses missions sont définies aux articles 38 et 39 du RGPD.
La consultation publique lancée le 16 juin 2016 par la Commission Nationale Informatique et Libertés (ci-après la « CNIL ») a mis en exergue les imprécisions de ces articles et les questions que se posaient les entreprises françaises. Dans quel cas faut-il désigner un DPO ? Qui peut devenir DPO ? Comment cette nouvelle fonction va-t-elle s’articuler avec celle du CIL (1) ? Quelle responsabilité pour ce nouvel acteur ?
Les lignes directrices adoptées par le G 29 (2) le 5 avril 2017 sont venues apporter des réponses à ces questions en suspens ainsi que des recommandations pour aider les entreprises à se mettre en conformité avec le RGPD .
Bien que ces lignes directrices n’aient pas de caractère contraignant, il est néanmoins fortement recommandé aux différents acteurs d’en tenir compte et de les respecter dans la mesure où elles ont été éditées par les autorités nationales qui procèderont au contrôle de la conformité des traitements qu’ils mettent en œuvre aux obligations légales issues du RGPD.
(1) Correspondant Informatique et Libertés
(2) L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales.
Dans quel cas faut-il désigner un DPO ?
La désignation d’un DPO est obligatoire (3) uniquement pour :
– Les autorités ou les organismes publics,
– Les organismes dont les activités de base (les activités principales et non celles accessoires) les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
– Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le RGPD ne définit pas ce qu’il convient d’entendre par « grande échelle ». Mais, le G 29 recommande de prendre en compte différents critères tels que le nombre de personnes concernées, le volume des données traitées, la durée du traitement ou encore son étendue géographique.
A titre d’illustration, le traitement des données de patients par un hôpital constitue un traitement à grande échelle. De même, s’agissant du traitement de données de consommateurs par une compagnie d’assurance ou une banque, la désignation d’un DPO dans ces hypothèses étant obligatoire.
Quand bien même l’entreprise ne serait pas concernée par cette obligation, le G29 recommande de recourir à un DPO sur une base volontaire. En effet, les lignes directrices mettent en avant l’atout compétitif que constitue la désignation d’un tel acteur qui va coordonner les actions à mener et être le point de contact entre les différents acteurs du traitement de données.
Elles rappellent toutefois qu’en cas de recours à un DPO sur une base volontaire, les règles définies aux articles 37 à 39 du RGPD seront alors applicables.
En toutes hypothèses, le G 29 recommande aux organismes de documenter les raisons pour lesquelles ils ne sont pas soumis à l’obligation de désigner un DPO, et ce, même si elles semblent évidentes.
(3) Article 37 du RGPD
Quelles sont les missions du DPO ?
Le DPO, désigné par la CNIL comme le « chef d’orchestre » en matière de protection des données, a, avant tout, un rôle de pilote chargé de la mise en œuvre de la conformité au RGPD.
Ce dernier est ainsi chargé d’informer, conseiller et contrôler les différents acteurs des traitements de données à caractère personnel qui seront mis en œuvre au sein de la structure qui l’aura désigné.
Il devra inventorier l’ensemble des traitements mis en œuvre par l’entreprise, notamment par la tenue obligatoire d’un registre devant être mis à disposition de la CNIL sur simple demande.
Il aura également un rôle très important dans la mise en œuvre des analyses d’impact sur la vie privée (4), ce dernier étant chargé d’assister et de conseiller le responsable de traitement, notamment sur la question de savoir s’il faut les mettre en œuvre et comment, puis de vérifier leur exécution.
Pour exercer ses missions, le DPO devra bénéficier du soutien du responsable de traitement qui doit :
(i) l’impliquer dans tous les projets ayant un impact sur la protection des données à caractère personnel ;
(ii) mettre à sa disposition les ressources nécessaires pour lui permettre d’exercer ses missions (formation, ressources financières, matérielles et/ou humaines) ;
(iii) lui permettre d’exercer ses missions en toute indépendance, par exemple par un positionnement hiérarchique adéquat ;
(iv) lui permettre d’accéder aux données et aux opérations de traitement mises en œuvre, notamment dans des délais lui permettant d’effectuer correctement ses missions.
Concrètement, il devra donc être convié à l’ensemble des réunions où les décisions qui y seront prises sont susceptibles d’avoir un impact sur la protection des données.
Lorsque ses conseils ne seront pas suivis, le responsable de traitement ou le sous-traitant qui l’auront désigné devront notamment en documenter les raisons.
Le DPO sera également le point de contact avec la CNIL. Chargé de coopérer avec elle, il devra lui faciliter son travail en cas de contrôle en lui transmettant les documents et informations nécessaires à sa mission.
Le DPO pourra également contacter la CNIL pour lui demander conseil sur des projets à venir.
(4) Analyse obligatoire pour certains types de traitements et particulièrement requise pour les traitements portant sur des données sensibles, des personnes vulnérables, et plus largement pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées. Pour plus d’informations
Qui peut être DPO ?
Le RGPD exige que le DPO « soit désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions » qui doivent lui être confiées.
Concrètement, le DPO doit donc disposer de connaissances et compétences tant techniques, que juridiques, et en particulier maitriser les dispositions du RGPD. Il doit également avoir une bonne connaissance du secteur d’activité de l’entreprise concernée ainsi que des risques et besoins en termes de sécurité des données associés aux traitements mis en œuvre dans ce secteur.
Les lignes directrices viennent préciser par ailleurs que le niveau d’expertise du DPO devra être adapté à l’activité de l’entreprise qui l’aura désigné et à la sensibilité des traitements mis en œuvre. Aussi en cas de traitement massif de données sensibles (par exemple de données de santé), le niveau d’expertise du DPO devra nécessairement être élevé.
En plus de disposer d’un certain niveau d’expertise, le DPO ne doit pas avoir de conflit d’intérêts avec l’entreprise. Concrètement, cela signifie qu’il ne peut pas exercer d’autres fonctions au sein de l’entreprise qui le conduiraient, même indirectement, à déterminer les finalités et moyens d’un traitement.
Ainsi, les lignes directrices du G 29 recommandent notamment que la fonction de DPO ne soit pas exercée par un Directeur marketing ou un Directeur des ressources humaines ou encore par un Directeur financier ou Responsable du service informatique.
Le choix du bon profil n’est donc pas tâche facile et nombreuses aujourd’hui sont les entreprises qui s’interrogent sur le type de candidat qu’il convient de sélectionner pour ce poste stratégique.
Pour aider les entreprises dans le recrutement de leur futur DPO, l’association Française des Correspondants à la Protection des Données a récemment publié une fiche de poste ainsi qu’une lettre de mission .
CIL versus DPO : quelles différences ?
Les missions du DPO sont sensiblement renforcées comparées à celles du CIL existant, de même que ses prérogatives et les moyens dont il dispose pour exercer ses fonctions. Mais la réelle différence réside surtout dans la place stratégique accordée par le RGPD au DPO qui, contrairement au CIL, devra faire directement rapport au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant.
A cet égard, la CNIL rappelle que la « transformation » du CIL en délégué ne sera pas automatique.
En toutes hypothèses, dans la mesure où rares sont aujourd’hui les profils de CIL qui maitrisent à la fois les aspects juridiques et techniques de la protection des données, des formations devront leur être dispensées pour leur permettre d’atteindre le niveau d’expertise exigé.
Une étude IFOP réalisée en 2015 révèle en effet que :
– 47% des profils de CIL sont issus du secteur des TIC/SI,
– 19% occupent des fonctions juridiques,
– 10% exercent des fonctions administratives
– 10% occupent des fonctions d’audit ou de conformité.
La CNIL vient notamment d’annoncer qu’elle adresserait prochainement des courriers aux organismes ayant désigné un CIL afin de les sensibiliser aux nouvelles obligations. Le formulaire de désignation du délégué à la protection des données sera mis en ligne dans les prochains mois et les organismes devront donc informer la CNIL, via ce formulaire, de la désignation d’un délégué ou de la « transformation » du CIL en délégué.
Sur ce point, on ne manquera pas de relever l’engouement pour cette profession attirant de nombreux candidats venant concurrencer les CIL existants.
Quelle responsabilité ?
Comme le CIL, le DPO n’est pas responsable en cas de manquement du responsable de traitement à ses obligations issues du RGPD. Seul le responsable de traitement ou le sous-traitant répondra des éventuels manquements aux dispositions légales en vigueur.
Toutefois, si le DPO enfreint volontairement les dispositions du RGPD ou s’il aide le responsable de traitement et/ou le sous-traitant à les enfreindre, sa responsabilité pénale en tant qu’auteur ou complice pourra être engagée.
On précisera par ailleurs que pour garantir l’indépendance du DPO dans l’exercice de ses missions, le RGPD prévoit qu’il ne pourra être relevé de ses fonctions ou pénalisé par le responsable de traitement. (5)
Sur ce point, le G 29 est venu apporter quelques précisions. Cette protection contre des sanctions éventuelles du responsable de traitement concerne uniquement les cas où ce dernier tenterait de sanctionner le DPO du fait de l’exercice de sa fonction (par exemple, si ce dernier émet des recommandations qui ne vont pas dans le sens du responsable de traitement ou s’il manifeste son désaccord avec des décisions prises par ce dernier).
Par sanctions, il faut notamment entendre l’absence ou le retard de promotion, un traitement discriminatoire, ou encore des freins à l’avancement de carrière, étant précisé que la sanction n’a pas besoin d’être effective (une simple menace suffit) pour que le manquement aux dispositions du RGPD soit constitué.
On précisera toutefois que le DPO ne relève pas du statut de salarié protégé et qu’il peut donc, comme tout salarié, faire l’objet d’un licenciement pour des raisons autres que l’exercice de sa fonction de DPO.
(5) Article 38 §3 du RGPD
Ce qu’il faut retenir :
i. La désignation d’un DPO n’est obligatoire que dans certains cas.
ii. Néanmoins le G 29 recommande le recours à un DPO même lorsque cela n’est pas obligatoire dans la mesure où :
– le DPO va faire l’intermédiaire entre les différents acteurs concernés par le traitement et ainsi centraliser les informations et coordonner les actions à mener ;
– le DPO va créer et mettre à disposition de l’entreprise des outils pour lui permettre d’être « compliant » ;
– le recours à un DPO peut constituer un avantage concurrentiel pour l’entreprise.
iii. La responsabilité personnelle du DPO ne sera pas engagée en cas de non-conformité au RGPD.
iv. La mise en place de la fonction de DPO doit être anticipée dès aujourd’hui.
v. Un formulaire de désignation en ligne auprès de la CNIL devrait être disponible prochainement sur le site de la CNIL.