La désignation d’un DPD : option ou obligation ?

Acteur et vedette de la réforme du droit de la protection des données personnelles, amorcée par le règlement RGPD, le délégué à la protection des données (DPD), de sa version anglo-saxonne DPO (« Data Protection Officer ») est sous le feu des projecteurs. Doté d’un rôle, d’un statut et de pouvoirs plus étendus que l’ancien Correspondant Informatique et Liberté (CIL), ce nouvel acteur de la révolution numérique sécurisée amène à se poser de nombreuses questions. Dans quelles situations doit-il être désigné ? Qui peut endosser son rôle ? Quels sont ses prérogatives et les moyens dont il dispose pour les mettre en oeuvre ?

Une désignation obligatoire dans des cas précis

Prévu à l’article 37 de la section 4 du Règlement RGPD, la désignation du DPD est rendue obligatoire dans les situations suivantes :

• L’activité est exercée par des organismes et autorités publics. En effet, il est justifié qu’à l’intérieur des ministères, des collectivités territoriales ou des établissements publics, la protection des données personnelles soit une règle inflexible. Le gouvernement a une responsabilité envers le public et ne doit pas commercialiser ou traiter des données sensibles sans conséquences. Une obligation renforcée leur est alors tout naturellement imposée.

• Les organismes exercent des activités ayant vocation à faire du traitement systématique, régulier et important d’informations sur un grand nombre de personnes. Les établissements bancaires ou les sociétés d’assurance qui collectent des données personnelles sur des personnes physiques ou morales, leurs dépenses ou leur sinistralité, sont principalement touchés. Il en va de même pour les compagnies de téléphonie mobile qui doivent s’assurer qu’en interne, les informations relatives à vos conversations téléphoniques, vos habitudes d’appel et votre consommation ne soient pas utilisées à des fins commerciales intempestives.

• Les organismes font du traitement de données qualifiées de sensibles par la loi. Ces données sont principalement celles qui touchent à notre intégrité physique : les données biométriques, génétiques, sur la santé, l’orientation sexuelle, l’origine ethnique etc. Il est aisé de comprendre comment ces données, en de mauvaise mains, peuvent avoir des incidences graves. De plus, tout ce qui touche aux opinions politiques, religieuses, syndicales ou philosophiques, fait l’objet du même renforcement de protection. Les dernières informations dites «sensibles» sont les informations relatives aux infractions et condamnations pénales concernant un individu et qui lui seraient fortement préjudiciable en cas de diffusion.

Au regard de la réglementation en vigueur, ces trois hypothèses sont les « seules » dans lesquelles un DPD doit obligatoirement être désigné, cependant le champ d’application est relativement large en pratique. Il semble difficile d’apprécier si un organisme est concerné ou non. Consulter un professionnel du droit est recommandé afin de ne pas faire l’objet d’un redressement postérieur.

Une désignation recommandée dans tous les cas

Quand bien même l’obligation ne s’applique pas à un organisme particulier, la CNIL est formelle : cette désignation est fortement recommandée. A minima, les organismes sont tenus de respecter à la lettre le texte du Règlement RGPD. En effet, la CNIL encourage la désignation d’un Délégué à la protection des Données pour les entreprises qui collectent des données personnelles hors du cadre des activités de base (celles liées directement à l’activité de l’organisme et qui sont nécessaires pour l’exercer). Par exemple, les activités de paye devraient être encadrées car sensibles. Il est préconisé d’effectuer un suivi des opérations de traitement de données et de prévoir des procédures internes pour s’assurer de la conformité de l’organisme avec le RGPD. La désignation d’un délégué, même lorsque la loi ne l’exige pas est alors une véritable stratégie de promotion de la société.

Le profil du parfait DPD

En fonction de l’effectif de la société, plusieurs Délégué à la Protection des Données peuvent être désignés. Parfois un seul sera suffisant mais il peut arriver que cette simple désignation soit déjà compliquée. Le DPD doit avoir une aisance particulière avec le droit pour appréhender les concepts du RGPD. Ses compétences professionnelles doivent être en conformité avec ses missions. Il est possible que ce délégué soit engagé dans le cadre d’un contrat de service par le responsable du traitement ou de son sous-traitant, tout en gardant une indépendance essentielle. Ces derniers devront prévenir l’autorité de contrôle de sa désignation et lui communiquer ses coordonnées.

Le choix peut se porter en interne, vers un employé qui occupe déjà un poste de contrôle dans d’autres domaines. Un auditeur interne doté d’une formation juridique pourrait très bien être qualifié. Cependant, si la solution interne n’est pas envisageable ou que l’embauche d’une personne dans ce seul but n’est pas une priorité pour l’organisme, une autre option voit le jour : externaliser. En effet, il est possible de solliciter les prestations d’une personne extérieure à l’entreprise. Des entreprises s’occupent exclusivement de ce type de projet et assurent une conformité optimale avec le RGPD. Dans l’hypothèse d’un groupe d’entreprises, il est possible de faire appel au même DPD, sous certaines conditions. Aucun conflit d’intérêts ne doit émerger de cette désignation et le délégué doit être disponible pour chaque entité dans laquelle il est mandaté. Un conseil juridique est toujours le bienvenu pour s’assurer de la lecture exacte du texte du RGPD.

Les missions du DPD

Sous la supervision de l’organisme, il doit avoir à sa disposition les moyens matériels et techniques à même de l’aider à remplir sa mission. Cette dernière a été précisée lors du G29 du 5 avril 2017, lors d’une réunion des différentes « CNIL » (Commission Nationale de l’Informatique et des Libertés) européennes. Ces missions sont les suivantes :

Information et conseil

Le DPD doit s’assurer que le responsable du traitement ou le sous-traitant disposent de la formation nécessaire pour effectuer leurs missions. Il doit donc les informer et les conseiller tout au long de ce processus. Il peut éventuellement former du personnel. Il conseille également l’organisme en vue de réaliser des audits et des analyses d’impact sur le traitement des données personnelles et son efficacité.

Mission de contrôle

Le délégué à la protection des données doit vérifier que le RGPD est bien respecté ainsi que la législation nationale. Pour cela, il gère les processus de traitement des données sur internet et la façon dont l’organisme protège son fonctionnement quotidien.

Coopération avec l’autorité de contrôle

Le délégué à la protection des données doit être joignable et rester en contact avec les autorités en charge de la protection des données personnelles. Cependant sa responsabilité personnelle ne sera pas engagée en cas de violation du règlement par l’organisme, contrairement au Responsable du traitement. Il est le point de contact avec la CNIL pour s’assurer que les déclarations sont faites et que ses lignes de conduites sont appliquées dans l’organisme. Enfin, c’est à lui que sont envoyées les demandes des personnes dont les données sont collectées, lorsqu’elles souhaitent exercer leur droit à l’oubli, retirer leur consentement au traitement de leurs données ou transférer celles-ci à un autre gestionnaire.