RGPD : le rôle stratégique du Data Protection Officer (DPO)

La réforme du RGPD, entrée en vigueur il y a six mois maintenant, contient plusieurs mesures majeures dont la nomination d’un délégué à la protection des données personnelles, DPO pour “Data Protection Officer” en anglais. La nomination d’un DPO, dont les articles 37 et 39 du Règlement Général pour la Protection des Données explicitent le régime, se trouve au cœur de cette réforme commune aux pays de l’Union européenne. Son importance est telle que dès le 13 décembre 2016, le G29 (groupe des CNIL européennes, en charge de l’application du RGPD) a adopté les lignes directrices de cette nomination, lors d’une séance plénière. Des directives qui font partie intégrante des trois premiers guides adoptés par le G29 en prévision de la constitution du RGPD, ces trois guides étant les plus volumineux.

Qui doit avoir recours à un DPO ?

Le RGPD stipule que l’ensemble des responsables de traitement ainsi que leurs sous-traitants, basés dans les pays de l’UE ou bien traitant des données personnelles issues de résidents de l’Union européenne, doivent obligatoirement nommer un Data Protection Officer, et spécifiquement dès lors que :

• le traitement de ces données est effectué par un organisme ou une autorité public, la notion de “autorité ou organisme public” étant laissée à la détermination du droit national de chaque État membre de l’UE.
• les activités de base d’un organisme le conduisent à entreprendre un suivi régulier et systématique de personnes, à grande échelle, du fait de la nature, de la portée ou bien de la finalité de ses activités.
• les activités de base d’une société l’amènent à traiter des données dites sensibles ou bien ayant un rapport avec des infractions et condamnations pénales. Pour rappel, les données considérées comme sensibles sont notamment relatives aux données génétiques, biométriques, religieuses, portant sur la santé ou bien sur les opinions politiques ou syndicales.

À noter que si le responsable de traitement remplit les critères l’amenant à désigner obligatoirement un DPO, son ou ses sous-traitants ne sont pas nécessairement tenus de le faire, et inversement. La nomination d’un Data Protection Officer se faisant réellement sur la base de critères spécifiques.En ce qui concerne le traitement “à grande échelle”, le RGPD clarifie cette notion en recommandant de prendre en considération les facteurs suivants :

• le nombre de personnes concernées par ce suivi régulier ;
• le volume des données et/ou le spectre de catégories de ces données ;
• l’étendue de la zone géographique concernée par cette activité de traitement ;
• la durée de cette activité de traitement ou bien sa permanence.

“Activité de base” et traitement de données “à grande échelle”

Pour exemples, la nomination d’un DPO concerne notamment les traitements de données personnelles par téléphone, effectués par un fournisseur de service internet de même que ceux réalisés de manière habituelle par les sociétés d’assurance et les établissements bancaires. À contrario, le traitement de données personnelles effectuées par un médecin particulier ou bien par un avocat lorsqu’elles sont relatives aux infractions et condamnations pénales, ne constituent pas un traitement dit “à grande échelle”.

Quant à “l’activité de base” d’une entreprise, le RGPD la considère comme étant l’activité clé d’une société, lui permettant de mener à bien ses objectifs ou bien étant liée de manière inextricable au traitement de ces données. Exemple : un hôpital traitant les données de ses patients est bien dans l’obligation de nommer un délégué à la protection des données personnelles. En revanche, sont considérées comme activités marginales le service informatique d’une entreprise ou bien celui traitant les paies.

Peut-on volontairement désigner un DPO même si l’on ne remplit pas les critères définis par le RGPD ?

Il est tout à fait possible pour une organisation de faire volontairement appel aux services d’un Data Protection Officer, même lorsque celle-ci ne remplit pas les critères validés par le Règlement Général pour la Protection des Données. Le G29 encourage même cette démarche.

Les organismes qui ne sont pas soumis à l’obligation de nomination d’un Data Protection Officer et qui ne souhaitent pas en nommer un, peuvent toutefois avoir recours à du personnel ou bien des consultants extérieurs en charge de la protection des données à caractère personnel. Il sera alors important de veiller à ce qu’il n’existe aucune confusion possible quant à leurs tâches et leurs titres et que le responsable de traitement des données conserve bien ses prérogatives et les obligations lui incombant.

Comment choisir un DPO et quelles sont ses missions ?

Le choix d’un délégué à la protection des données personnelles

La nomination d’un DPO doit se faire au regard d’un certain nombre de critères relatifs aux compétences, mais également à l’éthique. En effet, l’expertise d’un Data Protection Officer tant sur le plan technique que réglementaire, doit permettre de répondre à la complexité du traitement et du niveau de protection exigé pour les données personnelles, notamment lorsqu’il s’agit de données dites sensibles ou bien transférées en dehors de l’Union européenne. Une excellente connaissance du RGPD, mais également des pratiques et de la réglementation de data privacy tant nationales qu’européennes est plus que requis. Le DPO doit en outre connaître parfaitement les activités et le fonctionnement de l’entreprise pour laquelle il travaille, notamment au niveau IT.

Le délégué à la protection des données personnelles, outre ses connaissances en la matière, doit posséder une éthique et une intégrité professionnelle primordiales à ses fonctions. Enfin, le DPO peut être un membre du personnel ou bien un prestataire externe.

Les missions d’un DPO

Le DPO, comparable au sein d’une entreprise au chef d’orchestre du RGPD, endosse principalement des fonctions d’informateur et de conseiller auprès du responsable de traitement ou bien de son sous-traitant, mais également auprès des salariés.

Concrètement, il incombe au DPO d’informer les différents acteurs du traitement des données personnelles sur les nouvelles obligations, mais aussi d’assister les décideurs lors de leurs prises de décisions en les informant sur les conséquences. Le Data Protection Officer doit donc être réellement impliqué, en temps utile, dans l’ensemble des problématiques relatives à la protection de données à caractère personnel. En ce sens, si le DPO est un membre du personnel, les ressources et le temps inhérents à ses fonctions doivent lui être alloués.

Le DPO, autorisé à exercer d’autres fonctions, ne doit pas être contraint à des situations de conflits d’intérêts. Il reste en tout état de cause soumis à une obligation de confidentialité.

Il est important d’avoir à l’esprit le fait que le DPO n’est pas responsable de la mise en conformité d’une entreprise au RGPD, à la place du responsable de traitement ou bien du sous-traitant. De même, si l’avis du DPO n’est pas respecté par le responsable de traitement ou bien le sous-traitant, le DPO doit alors documenter le processus ayant amené ces acteurs à ne pas suivre ses recommandations.

En conclusion, le DPO fait office d’élément de coordination interne et externe, en agissant tel un véritable point de repère pour les acteurs du traitement de données qu’il conseille et faisant office de contact pour l’autorité de contrôle du RGPD, avec qui il doit coopérer. Son rôle stratégique va ainsi bien au-delà de celui du CIL (Correspondant Informatique et Liberté), bien que les deux fonctions soient complémentaires, comme nous l’avons expliqué dans un précédent article.