RGPD : Qu’est-ce qu’un délégué à la protection des données?

Depuis l’adoption du Règlement général sur la protection des données (RGPD) en avril 2016 et sa mise en place en mai 2018, l’utilisation des données personnelles est contrôlée. Conformément au droit communautaire, les règlements européens sont des actes juridiques applicables directement et obligatoirement dans tous les États membres. Dans la mesure où ce texte vise à encadrer, de manière égalitaire, et sur tout le territoire de l’Union Européenne, le traitement des données personnelles, sont concernés toute structure publique ou privée effectuant la collecte ou le traitement des données, et tous les organismes européens, qu’ils soient implantés ou non sur le sol de l’UE dès lors que leurs activités ciblent des résidents européens. En outre, l’obligation d’un fichier qui liste tous les traitements des données personnelles a entraîné la création d’un poste spécifique, le DPO (Data Protection Officer), appelé en France le DPD (Délégué à la protection des données). Ce dernier est le garant du RGPD.

Ainsi la section 4 du chapitre 4 du Règlement, intitulé « Responsable du traitement et sous-traitant », définit le délégué à la protection des données et le distingue du responsable du traitement et du sous-traitant.

Définition de la fonction de DPD

Soumis au secret professionnel, le DPO n’est pas une fonction à part entière. En effet, le délégué à la protection des données peut exercer d’autres missions dès lors qu’il n’y a pas de conflit d’intérêt. Pour mener à bien les missions qui lui sont confiées, il est doté de connaissances spécifiques en droit et plus particulièrement dans le cadre de la protection des données. De la même façon, il doit connaître précisément l’organisation interne de son service, notamment tout ce qui est relatif au traitement des données personnelles.
Associé, avec le responsable du traitement et le sous-traitant, à tout ce qui concerne les données personnelles, il a accès à la fois à ces dernières et également au traitement des informations. Par ailleurs, il est libre concernant l’exercice de ses missions et ne peut être relevé de ses fonctions. De plus, il est l’interlocuteur direct de toute personne s’interrogeant sur le traitement de ses propres données.

Ses missions

Le délégué est le référent à l’intérieur de son organisme, en ce qui concerne tout élément relatif à la protection des données personnelles.

• Il assure le lien avec l’autorité de contrôle.
• Il informe et conseille le responsable du traitement, le sous-traitant ainsi que les employés de son organisme.
• Il garantit le respect du RGPD en assurant des contrôles.
• Il fait office de consultant en cas de violation du respect des données personnelles ou autre incident.

Sa désignation

La désignation d’un DPD est-elle obligatoire ?

Le responsable du traitement et le sous-traitant sont dans l’obligation de désigner un délégué à la protection des données dans les cas suivants :

• Ils appartiennent à un organisme public.
• Leurs activités de base consistent en un traitement qui nécessite un suivi systématique et régulier des personnes concernées.
• Leurs activités de base les amènent à traiter des données dites « sensibles » ou relevant d’un caractère pénal.

A la lecture du texte de loi, le délégué à la protection des données doit être obligatoirement désigné dans les cas évoqués ci-dessus. Dans certaines situations, donc, il n’y a pas d’obligation à nommer un délégué. Ainsi, les critères déterminant l’obligation de désigner un référent ont été précisés par le G29, qui regroupe l’ensemble des CNIL européennes. En cas de doute, il est vivement recommandé de recourir à un avocat pour une meilleure appréhension du texte.

Le RGPD s’applique t-il en l’absence de DPD ?

Si la réglementation en vigueur rend facultatif, dans certains cas, la désignation d’un DPD, le RGPD doit nécessairement être respecté. Aussi, les usagers ont-ils un droit de regard sur les informations les concernant. Ils peuvent ainsi les consulter, les modifier, les supprimer et en limiter l’accès. C’est pourquoi, bien que sa nomination soit parfois facultative, la fonction du DPD n’en est pas moins recommandée afin d’assurer le respect du RGPD.

Le délégué doit-il être nécessairement interne à l’organisme ?

De façon générale, chaque organisme doit avoir un délégué. Cependant, un seul DPD peut être nommé comme référent pour un groupe d’entreprise dès lors qu’il reste facilement joignable pour toutes les entreprises concernées. De la même façon, dans le cadre d’une autorité publique ou d’un organisme public, un seul référent peut être désigné pour plusieurs organismes, en fonction de leur taille et de leur organisation.

Quelles sanctions ?

Dans la mesure où la CNIL (Commission Nationale de l’Informatique et des Libertés) assure un contrôle ferme dans le cadre du respect des données personnelles, elle a désormais un pouvoir de sanction administrative. Si le délégué chargé de la protection des données ne peut être tenu responsable en cas de non-respect du cadre, il n’en est pas de même pour le responsable du traitement et le sous-traitant. Ainsi, il existe deux types de sanctions :

• Une sanction administrative sous forme d’amende pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaire mondial.
• Une sanction pénale avec des peines pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.

Ainsi l’application du RGPD entraîne des obligations quant au traitement des données personnelles. Bien que la désignation d’un délégué à la protection des données ne soit pas obligatoire dans tous les cas, elle est cependant vivement conseillée, au vu des sanctions qui peuvent être appliquées en cas d’erreur. En cas de doute, il est donc recommandé de se rapprocher d’un avocat afin de clarifier le texte réglementaire.

Références

Articles 32 à 34 du Code de la protection des données personnelles