Si la fonction n’est pas à proprement parler nouvelle, le « paquet européen » du 27 avril 2016, tout comme la « loi Informatique et libertés », reconnaissent aujourd’hui le délégué à la protection des données ou Data Protection Officer, plus couramment appelé DPO, comme l’acteur clé de la gouvernance des données personnelles. Il aide à la fois le responsable de traitement à mieux appréhender ses obligations (RGPD, art. 39(1), a) ; Dir. 2016/680/UE, art. 34(1), a)), comme l’élaboration d’une étude d’impact (RGPD, art. 35(2) et 39(1), c) ; Dir. 2016/680/UE, art. 34(1), c)) ou la tenue d’un registre, et à faciliter ses échanges avec l’extérieur, qu’il s’agisse aussi bien des personnes concernées par le traitement (RGPD, art. 38(4)) sauf pour les traitements relevant du champ de la directive, que les autorités nationales de protection des données (RGPD, art. 39(1), d) et e) ; Dir. 2016/680/UE, art. 34(1), d) et e)). Mais son action ne se limite toutefois pas au seul conseil, dès lors qu’il se voit confier la mission de contrôler le respect de la réglementation en la matière, en particulier à l’occasion d’audits (RGPD, art. 39 (1), b) ; Dir. 2016/680/UE, art. 34(1), b)).
a) Désignation du DPO
La désignation du DPO s’effectue auprès de l’autorité de contrôle compétente, à savoir la CNIL en France qui a mis en place un formulaire dédiée en ligne à cette fin (www.designations.cnil.fr/dpo/designation/organisme.designant.delegue.action). Une telle désignation n’est obligatoire, aussi bien par le responsable de traitement que par le sous-traitant, que dans trois hypothèses (RGPD, art. 37 ; L. no 78-17, 6 janv. 1978, mod. par Ord no 2018-1125, 12 déc. 2018, art. 57 et 103).
La première hypothèse s’applique lorsque le traitement est effectué par une autorité publique (c’est-à-dire, dans le cas français, l’Etat, les collectivités locales et leurs établissements publics administratifs) ou un organisme public, c’est-à-dire tout organisme créé pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial, doté de la personnalité juridique et, dont soit l’activité est financée majoritairement par l’État, les collectivités territoriales ou d’autres organismes de droit public, soit la gestion est soumise à un contrôle par ces derniers, soit l’organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les collectivités territoriales ou d’autres organismes de droit public (Dir. mod. 2003/98, 17 nov. 2003, art. 2(2)).
De sorte que doivent désigner un délégué notamment les chambres de commerce et d’industrie ou celles des métiers et de l’agriculture, les établissements publics nationaux comme les Universités, les établissements publics hospitaliers ou les offices publics d’habitations à loyer modéré (OPHLM), les groupements de collectivités territoriales ainsi que la Banque de France, la Caisse des dépôts et consignations, voire même certains organismes de droit privé dotés de la personnalité juridique et constitués par des pouvoirs adjudicateurs en vue de réaliser certaines activités en commun.
Toutefois ne sont pas concernées du moins par cette hypothèse, les personnes privées chargées d’une mission de service public à l’instar des sociétés de transports publics, de fourniture d’eau ou d’énergie, voire des ordres professionnels ou du service public audiovisuel, même si – dans ces différents cas – la présence d’un délégué est vivement recommandée (Groupe de l’article 29, Lignes directrices concernant les délégués à la protection des données, 13 déc. 2016, WP 243 rév. 01, p. 7 ; Geffray E., Protection des données : le règlement européen décrypté, Liaisons sociales Quotidien - L’actualité, No 17326, 15 mai 2017), de même que les juridictions, sous réserve d’agir dans l’exercice de leur fonction juridictionnelle (RGPD, art. 37(1), a) ; Dir. 2016/680/UE, art. 32(1)).
La deuxième hypothèse vise les activités de base de l’entité consistant en des traitements, à grande échelle, qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées, qui ne saurait se limiter à du tracking en ligne. Par activités de base, il faut entendre les « activités principales » ou essentielles pour atteindre les objectifs du responsable de traitement ou du sous-traitant, à l’instar des traitements des dossiers médicaux des patients par un hôpital dont la mission est justement de délivrer des soins (Groupe de l’article 29, Lignes directrices, préc., p. 8), et non celles accessoires (Groupe de l’article 29, Lignes directrices, préc., p. 8) ou « auxiliaire[s] » (RGPD, consid. no 97). Par grande échelle, il faut entendre un nombre sinon spécifique, au moins une partie de la population, sur une zone géographique relativement étendue pour un volume significatif de données et une certaine permanence de conservation (Groupe de l’article 29, Lignes directrices, préc., p. 9).
La troisième hypothèse s’applique lorsque les traitements à grande échelle, à l’instar du traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet, des données sensibles ou relatives à des condamnations pénales et à des infractions. Ces trois hypothèses font au final ressortir l’idée transversale du règlement européen du 27 avril 2016 qui consiste à faire reposer l’obligation de désignation d’un DPO, en raison de la sensibilité des traitements mis en œuvre, se manifestant plus particulièrement au moyen :
- d’un critère « organique », tel que celui résultant des caractéristiques de la nature même du responsable de traitement (en l’occurrence son appartenance au secteur public) ;
- ou d’un critère plus « matériel », rattaché à la fois à l’ampleur du traitement (uniquement à grande échelle) et à la nature des opérations (ici de suivi régulier ou systématique) ou des données en cause (informations sensibles ou portant sur des infractions et condamnations pénales).
Si, malgré ces critères, une entreprise n’est pas certaine d’avoir à désigner un tel délégué, elle devra procéder à une analyse documentée permettant de le déterminer afin de répondre à l’exigence d’accountability de l’article 24(1) du règlement européen. En dehors de ces hypothèses, la désignation d’un DPO reste facultative (Jouffin E., Lemarteleur X. et Gibon M.-N., Le Règlement sur la Protection des données : les 10 Commandements à connaître pour passer de la théorie à la pratique : RD bancaire et fin. juill.-août 2016, étude 18. – A. Bounedjoum, Réforme européenne des données personnelles ; registres internes et DPO, la nécessaire réorganisation des entreprises : JCP E 2016, 1326 ; Uzan-Naulin J. et Perray R., « Le délégué à la protection des données : un peu plus qu’un correspondant Informatique et Liberté ? », RLDI, 2017/136, no 4983, p. 37). Elle a d’autant plus intérêt à s’en assurer que tout manquement aux règles en la matière est passible d’une sanction administrative pouvant aller jusqu’à 10 000 000 euros ou, si le contrevenant est une entreprise, 2 % du chiffre d’affaires annuel total mondial (RGPD, art. 83(4), a)).
b) Fonction du DPO
En pratique, la plus grande difficulté qui se manifeste à l’occasion de la désignation d’un DPO réside dans la détermination de son positionnement au sein de l’organigramme de l’entité.
Le DPO peut être désigné en interne. Il peut donc s’agir d’un employé. Le DPO peut être externe et ce, notamment via un contrat de service (RGPD, art. 37(6)). Fini donc le seuil de 50 personnes, à partir duquel la désignation d’un Correspondant Informatique et Libertés (CIL) interne était rendu obligatoire, même si, en pratique, plus la structure du responsable de traitement sera importante en taille, plus la désignation d’un DPO interne sera opportune.
Le DPO peut également être mutualisé entre plusieurs entités. Une telle mutualisation aura vocation à être appréciée pour les personnes publiques au regard de « leur structure opérationnelle et de leur taille » (RGPD, art. 37 (3)), les groupes d’entreprises disposant, pour leur part, de la faculté de désigner un seul DPO à la condition qu’il soit facilement joignable (RGPD, art. 37 (2)). C’est pourquoi, ses coordonnées devront être publiées notamment sur l’intranet, le répertoire téléphonique de l’entreprise ainsi que dans les organigrammes (Groupe de l’article 29, Lignes directrices, préc., p. 16), mais aussi sur le site internet institutionnel de son employeur, dès lors que le DPO peut être contacté par toute personne quant à l’exercice de ses droits (RGPD, art. 38(4)).
Au titre de ses missions, le DPO doit faire « directement rapport au niveau le plus élevé de la direction » de son employeur (RGPD, art. 38(3)), tout en restant indépendant à l’égard de ce dernier dont il ne doit pas recevoir « d’instruction » (RGPD, art. 38 (3)), son indépendance étant garantie par l’impossibilité pour le responsable de traitement qui l’a désigné de le relever de ses fonctions ou de le pénaliser (voir, sous l’empire de dispositions antérieures, à propos du refus de décharger un Correspondant Informatique et Libertés (CIL) de ses missions, au motif que l’information des clients d’un établissement bancaire quant au risque financier qu’ils prennent ne relève pas de sa compétence, CE, 9 mars 2018, no 406877, CIC Est).
Pour garantir l’indépendance du DPO, le règlement européen du 27 avril 2016 exige que sa mission n’entraine pas de conflit d’intérêts (RGPD, art. 38(6)) : le DPO ne peut donc pas exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
c) Missions du DPO
Une fois désigné, le DPO doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (RGPD, art. 38(1)). Le respect d’une telle exigence est évidemment la condition préalable pour assurer une conformité, au moins satisfaisante, au RGPD. En pratique, cela signifie que le DPO soit systématiquement invité à participer aux réunions en la matière et que lui soit transmis toutes les informations utiles, impliquant nécessairement un degré élevé de précision, en particulier quant aux conditions techniques de mise en œuvre du ou des traitements envisagés. Cela suppose également qu’il dispose de « ressources nécessaires » pour exercer ses missions, à savoir un soutien actif de son conseil d’administration, un temps suffisant – écartant en cela presque systématiquement l’option du temps partiel – pour accomplir ses missions, mais aussi de matériel, de locaux, voire d’une équipe dédiée en fonction de la taille de son employeur. Il faut enfin que lui soit accordé un large accès aux données et aux opérations de traitement et ce, quel que soit le service concerné : ressources humaines, département juridique et, bien entendu, service informatique (Groupe de l’article 29, Lignes directrices, préc., p. 13 et 17).
Dans tous les cas, le DPO doit disposer des « qualités professionnelles », en particulier des « connaissances spécialisées du droit et des pratiques en matière de protection des données » personnelles, ainsi que sa « capacité à accomplir les missions » (RGPD, art. 37 (5)) qui lui seront confiées et qu’il soit soumis au secret professionnel ou à une obligation de confidentialité (RGPD, art. 38(5)).
A noter que la tenue du registre ne relève pas nécessairement du DPO. Le Groupe de l’article 29 estime que cette situation n’est nullement de nature, en l’absence de dispositions l’interdisant expressément, à empêcher que le responsable de traitement ou le sous-traitant demande au DPO qu’ils ont respectivement désigné de veiller à la création, puis à la tenue du registre. Ce qui en pratique se présente très certainement, comme la solution la plus adaptée même si le risque de créer un conflit d’intérêt est particulièrement prégnant (Bourgeois M., Bounedjoum A., Réforme européenne des données personnelles : registres internes et DPO, la nécessaire réorganisation des entreprises : JCP E 2016, no 1326 ; Griguer M., Protection des données personnelles - DPO : un nouveau métier de la conformité, RICE 2017, no 89), dès lors que le DPO pourrait se trouver dans une situation de subordination à l’égard du responsable de traitement ou du sous-traitant qui l’a désigné.
En tout état de cause, les DPO ne sont pas personnellement responsables en cas de non-respect du RGPD. Ils ne peuvent donc recevoir aucune instruction de leur employeur (RGPD, art. 38(3)). Au besoin, le règlement européen du 27 avril 2016 établit clairement que c’est bien aux responsables de traitement, au besoin avec l’aide du sous-traitant, et à eux seuls, que revient la charge de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément aux exigences réglementaires (RGPD, art. 24(1)).
Comments
No comments yet. Be the first to react!