GDPR : tout comprendre sur le rôle stratégique du DPO

Dans une volonté d’adaptation à l’ère numérique et un souci d’unification pour l’ensemble de l’Union Européenne, le Règlement Européen n°2016/679 dit Règlement Général sur la Protection des Données (« RGPD » ou « GDPR » en anglais pour « General Data Protection Regulation ») a été adopté le 27 avril 2016. Ce Règlement sera d’application directe dans l’ensemble des Etats membres à compter du 25 mai 2018. Parmi ses mesures majeures : la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

 

 GDPR : Les missions du DPO

© DR

La nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »), dont le régime est explicité par les articles 37 à 39 du Règlement, est au cœur de la réforme. Son importance s’illustre par l’adoption, dès le 13 décembre 2016 par le G29 en séance plénière, de lignes directrices dédiées. Elles font partie des trois premiers guides adoptés par le G29 et constituent le document le plus fouillé et volumineux des trois.

 

DPO, pour qui ?

Sans préjudice d’autres cas qui seraient prévus par les Etats Membres, les responsables de traitement et les sous-traitants devront obligatoirement désigner un DPO lorsque :

  • le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans leur rôle juridictionnel) ;  le règlement ne définissant pas « autorité ou un organisme public », la notion est déterminée en vertu du droit national de chaque Etat Membre ;
  • leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;
  • leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.

Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement.

 

Que signifie « suivi régulier et systématique des personnes à grande échelle » et « activité de base » ?

Le G29 recommande notamment de prendre en considération les facteurs suivants pour déterminer si le traitement est effectué « à grande échelle » :

  • le nombre de personnes concernées ;
  • le volume de données et/ou le spectre des catégories de données ;
  • la durée ou la permanence de l’activité de traitement ;
  • l’étendue géographique de l’activité de traitement.

Le G29 estime, à titre d’exemples, que sont concernés par la nomination d’un DPO les traitements de données (trafic, contenu, localisation) par téléphone, par un fournisseur de services internet ou encore ceux réalisés à titre habituel par un banque ou une société d’assurance. En revanche, ne constitue pas un traitement à grande échelle, le traitement des données d’un patient par un médecin particulier ou relatif aux condamnations et infractions pénales par un avocat.

L’« activité de base » d’une entreprise est considérée par le G29 comme l’activité clé lui permettant de réaliser ses objectifs ou qui est inextricablement liée au traitement (par exemple un hôpital qui traite les données de ses patients, hôpital qui est donc tenu de nommer un DPO ; en revanche, la gestion de la paye ou le service informatique d’une entreprise sont considérées comme des activités marginales).

A la lecture du RGPD, il existait des doutes quant à la portée des hypothèses de désignation reposant sur des notions à interprétation variable comme celui d’« activité de base » d’un responsable ou de traitement « à grande échelle » des données. La réponse du G29 tend vers une large interprétation de ces notions et étend autant que possible les hypothèses de désignation à retenir.

 

Est-il possible de désigner un DPO en dehors des cas obligatoires ?

Oui, il est possible de le faire volontairement même lorsque les critères susvisés ne sont pas remplis. Le G29 encourage d’ailleurs cette désignation volontaire. Celle-ci emporte la soumission du DPO aux dispositions réglementaires le concernant, au même titre que les DPO ayant été désignés de façon obligatoire.

Les organismes non soumis à l’obligation de désignation d’un DPO et ne souhaitant pas en nommer un, peuvent employer du personnel ou des consultants extérieurs chargés de la protection des données à caractère personnel. Dans cette hypothèse, il est important de veiller à ce qu’il n’y ait aucune confusion quant à leurs titre et tâches. En tout état de cause, le responsable de traitement conservera les obligations lui incombant.

Matinale GDPR - Paris

 

Quelles sont les missions du DPO ?

Le DPO apparaît comme un réel « chef d’orchestre » principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés.

Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.

Bien qu’il soit autorisé à exercer d’autres fonctions, le DPO doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.

Le G29 recommande que le responsable de traitement demande l’avis du DPO, entre autres, sur la nécessité d’effectuer une analyse d’impact sur la protection des données (PIA), la méthodologie à suivre et les garanties à appliquer pour atténuer les risques d’atteinte aux droits de la personne concernée.

Attention, le DPO n’est pas responsable de la conformité au RGPD à la place du responsable de traitement ou du sous-traitant et si l’avis du DPO n’est pas suivi par le responsable de traitement ou le sous-traitant, le G29 insiste sur l’importance pour ce dernier de documenter le processus ayant conduit à une telle décision.

En somme, le DPO représente un élément de coordination à la fois en interne et en externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer. Il occupe ainsi un poste stratégique qui va au-delà de celui du CIL.

 

Comment choisir un DPO ?

Le choix du DPO doit suivre un certain nombre de critères de compétences et d’éthique. Ainsi, son niveau d’expertise tant technique que réglementaire doit permettre de répondre à la nature, à la complexité du traitement et au niveau de protection exigé pour les données, notamment en cas de données sensibles ou de transfert hors UE. Evidemment, une connaissance approfondie du RGPD et de la réglementation et des pratiques de data privacy nationales et européennes est requise. Connaitre le fonctionnement de l’entreprise (notamment au niveau IT) est également intrinsèque à la fonction.

L’intégrité et l’éthique professionnelle du DPO sont elles-mêmes primordiales et conditionnent la  promotion, à assurer par le DPO, d’une culture de protection des données personnelles au sein de la structure. Le DPO peut être un membre du personnel ou un prestataire externe.

 

Un groupe d’entreprise peut-il ne nommer qu’un seul DPO ?

Oui, à la condition que le DPO soit facilement accessible par chacun des établissements. Il appartient au responsable de traitement de s’assurer qu’un DPO unique sera en capacité d’exécuter efficacement chaque tâche lui incombant.

La protection des données étant un sujet transverse, elle n’implique pas seulement le DPO mais tous les métiers de l’entreprise, y compris notamment la direction, les services RH et les équipes IT. L’organisation des processus implique la sensibilisation et la remontée d’informations. Ainsi, l’humain représente le maillon fort permettant de garantir le respect du RGPD dans la structure, tant au niveau technique qu’organisationnel.

 

  • A propos
  • Derniers articles

Cécile Théard-Jallu

Avocate Associée à De Gaulle Fleurance & Associés

Cécile Théard-Jallu est avocate associée chez De Gaulle Fleurance & Associés. Elle intervient principalement sur des opérations contractuelles complexes, notamment de R&D et consortium, de transfert de technologies, de licensing ou liées à des projets de mutation technologique.

Il n'existe pas de commentaire pour le moment.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*