Le délégué à la protection des données

Le délégué à la protection des données

par | Déc 9, 2021

Le délégué à la protection des données (DPO)

Responsable de traitement, pilote de la mise en conformité.

DPO DÉFINITION

      • DPD : Délégué à la Protection des Données
      • DPO : Data Protection Officer (acronyme anglais)

Le Délégué à la Protection des Données ou Data Protection Officer (DPO) est désigné par le responsable de traitement. Le DPO est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de la structure qui l’a désigné. Véritable « chef d’orchestre » de la protection des données, il occupe un rôle central dans la gouvernance des données personnelles.

Il informe, conseille et accompagne le responsable de traitement en matière de protection des données personnelles et assure le contrôle du respect des obligations légales et règlementaires. Parmi ses missions, le DPO doit également assurer la documentation de la conformité de la structure.

Point de contact entre l’organisme qui le désigne et la CNIL, il est par ailleurs l’interlocuteur privilégié pour répondre aux questions relatives aux données personnelles.

Aujourd’hui, on compte près de 30 000 personnes (physiques ou morales) en France qui exercent cette fonction pour 80 000 organismes ayant désigné un DPO.

MISSIONS DU DPO

DPO OBLIGATOIRE ?

Comment savoir si votre organisme doit désigner un délégué à la protection des données ? Le DPO est-il toujours obligatoire ?

Le RGPD prévoit trois cas dans lesquels une entité est dans l’obligation de désigner un DPO. Peu importe que l’organisme soit responsable de traitement ou sous-traitant de données personnelles, la désignation du DPO est obligatoire pour :

✔️ les autorités ou les organismes publics (exemple : une collectivité territoriale) ;

✔️ les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle (exemple : les fournisseurs de services de téléphonie ou internet) ;

✔️ les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

Dans les cas où la désignation d’un délégué à la protection des données n’est pas obligatoire, la structure peut tout de même procéder volontairement à la désignation d’un DPO.

En ce sens, la CNIL recommande de procéder à la désignation d’un DPO dès lors qu’une entreprise rencontre des problématiques relatives à la protection des données personnelles. Cela présente en effet l’avantage de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données.

COMMENT DÉSIGNER UN DPO ?

Il n’existe pas de profil type pour exercer la fonction de DPO. Selon une étude réalisée concernant les DPO par l’AFPA en partenariat avec la CNIL  :

✔️ environ 28 % des DPO ont un profil informatique ;

✔️ le même pourcentage un profil juridique ;

✔️ et les 43 % restant ont quant à eux travaillé dans l’administratif, la finance, la conformité, l’audit, etc.

Le RGPD impose toutefois que le délégué dispose d’un certain niveau d’expertise. L’organisme doit également veiller à l’absence de conflit d’intérêts avec d’autres missions.

Le RGPD précise que le DPO est désigné « sur la base » de ses qualités professionnelles et ses capacités à accomplir ses missions (voir schéma « missions du DPO »). Les qualités professionnelles du DPO incluent, entre autres, ses connaissances du droit et des pratiques en matière de protection des données.

Pour la désignation d’un DPO, les points suivants sont à prendre en compte :

✔️ les connaissances et compétences de la personne pressentie pour être DPO ;

✔️ l’absence de conflit d’intérêts ;

✔️ la formalisation de la désignation auprès de l’autorité compétente ;

✔️ la garantie de son indépendance ;

✔️ la mise à disposition des moyens nécessaires à l’exécution de ses missions.

S’assurer qu’il dispose des connaissances et de compétences suffisantes :

✔️ une expertise juridique et technique en matière de protection des données personnelles ;

✔️ de bonnes connaissances sur le secteur d’activité et de la réglementation sectorielle applicable ;

✔️ une bonne compréhension de l’organisation interne et en particulier des opérations de traitement, du système d’information et des besoins de l’organisme ;

✔️ concernant une autorité publique ou un organisme public, une bonne connaissance des règles et procédures administratives applicables.

Le niveau d’expertise dépend de la sensibilité, de la complexité et du volume de données traitées par la structure. En tout état de cause, si la personne pressentie comme DPO ne possède pas un niveau de connaissances « adéquat » avant son entrée en fonction, il faudra nécessairement développer ses connaissances par des formations.

Le DPO doit également présenter des qualités personnelles : intégrité, haut niveau d’éthique professionnelle, capacité relationnelle et de communication pour vulgariser et convaincre.

 

Absence de conflit d’intérêts 

Si le DPO peut exercer d’autres fonctions au sein de la structure, il ne doit toutefois pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitement.

Le DPO ne doit et ne peut pas être « juge et partie » concernant les activités de traitement de données personnelles. L’existence d’un conflit d’intérêts s’apprécie au cas par cas. Sont le plus souvent citées comme des fonctions susceptibles de provoquer un conflit d’intérêts : directeur général des services, directeur des opérations, responsable des ressources humaines, médecin-chef, responsable du département marketing, responsable du service informatique, etc.

Enfin, il est conseillé de documenter l’analyse conduisant à exclure l’existence d’un conflit d’intérêts.

 

Formaliser et communiquer sur sa désignation

Concernant la formalisation et la communication de la désignation du DPO, il convient de  :

✔️ formaliser la désignation d’un DPO par un acte juridique ou un document spécifique comme une lettre de mission, un avenant au contrat de travail, un contrat de prestation de service (si DPO externe), etc ;

✔️ mener une communication auprès des collaborateurs, IRP et autres organes de l’entreprise sur la fonction et les coordonnées du DPO désigné. Les personnes concernées internes à l’entreprise doivent pouvoir le joindre facilement (exemple : note d’information à l’ensemble du personnel) ;

✔️ procéder à la désignation auprès de l’autorité de contrôle compétente. Une organisation qui travaille dans plusieurs pays, dont la France, doit s’assurer que la CNIL bien est l’autorité compétente. Si l’autorité compétente est la CNIL, la désignation du délégué doit se faire en ligne via le téléservice dédié.

Assurer son indépendance dans l’exécution de ses missions de DPO :

✔️ pas de sanctions pour l’exercice de ses fonctions de DPO, il n’est pas responsable en cas de non-conformité au RGPD. Il ne peut pas être licencié dans l’exercice de ses fonctions ;

✔️ pas d’instruction dans le cadre de l’exercice de ses missions de DPO ;

✔️ pas de conflit d’intérêts en cas de cumul de fonctions.

L’indépendance du DPO signifie également qu’il doit être en capacité de s’adresser directement au niveau le plus élevé de l’organisation sur une problématique spécifique, s’il l’estime nécessaire. D’autre part, le délégué doit être soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

 

Mettre à sa disposition les moyens nécessaires pour compléter ses missions de DPO

Les ressources nécessaires à la réalisation des tâches du DPO doivent être mises à sa disposition, ce qui signifie notamment que le DPO doit avoir :

✔️ assez de temps pour effectuer ses missions ;

✔️ des moyens humains et matériels adéquats ;

✔️ accès aux informations utiles (aux données et aux opérations de traitement par exemple) ;

✔️ accès le plus tôt possible à toutes les questions relatives à la protection des données lors de la création ou de l’évolution d’un traitement (notamment pour veiller au respect des principes de protection de données à la conception ou par défaut) ;

✔️ des moyens d’entretenir ses connaissances spécialisées.

ÉTUDE AUPRÈS DES DPO : LES CHIFFRES CLÉS

Le délégué à la protection des données peut être interne à l’organisme (membre du personnel de l’organisme), externe (sur la base d’un contrat de prestation de service) et/ou mutualisé entre plusieurs entités.

Une étude de 2020 du ministère du Travail, de l’Emploi et de l’Insertion, pour laquelle 1660 DPO désignés auprès de la CNIL ont été interrogés, précise que :

✔️ 72 % sont des DPO internes

✔️ 13 % sont des DPO internes mutualisés

✔️ 15 % sont des DPO externes

FAQ

Les organismes privés chargés d’une mission de service public ont-ils l’obligation de désigner un DPO comme les organismes publics ou les autorités publiques ?

Les organismes privés chargés d’une mission de service public conservent leur statut de droit privé et ne sont donc pas tenus de désigner un DPO en principe. Il leur est toutefois fortement conseillé d’en désigner un dans les lignes directrices relatives au DPO du CEPD.

Comment savoir si un traitement de données remplit le critère de grande échelle ?

Une analyse au cas par cas est nécessaire pour évaluer si un traitement est réalisé à grande échelle. Toutefois, il n’y pas de seuil applicable à toute situation. Les facteurs à prendre en compte sont les suivants : le nombre de personnes concernées, le volume ou le spectre des données traitées, la durée/permanence du traitement, l’étendue géographique de l’activité de traitement.

Un DPO doit-il être certifié pour qu’il soit désigné auprès de la CNIL ?

Non, la certification est un gage de qualité ou de compétence. Toutefois, un DPO n’a pas l’obligation d’être certifié.

Comment déterminer si une personne présente un risque de conflit d’intérêts entre ses missions de DPO et ses autres fonctions ?

Pour savoir si une personne présente un risque de conflit d’intérêts il faut étudier si elle détermine ou participe à la détermination de finalités et moyens d’un ou plusieurs traitement de données personnelles. Le DPO ne peut pas être « juge et partie ».

Est-ce que je peux désigner plusieurs DPO pour une même structure ?

Un organisme ne peut désigner qu’un seul DPO. Une équipe peut toutefois venir prêter main forte au délégué à la protection des données pour accomplir ses missions.

Un salarié peut-il refuser d’être désigné DPO ?

Oui, si sa désignation constitue une modification substantielle de son contrat de travail.

Le DPO peut-il être responsable de la non-conformité au RGPD d’un organisme ?

Le délégué à la protection des données n’est pas responsable si le RGPD n’est pas respecté par la structure qui l’a désigné. Il incombe au responsable de traitement de s’assurer que les traitements sont effectués conformément au RGPD et d’être en mesure de le démontrer. Même une délégation de pouvoir ne saurait opérer un transfert de responsabilité (car risque de conflit d’intérêts).

Le DPO interne peut-il être sanctionné pénalement ou civilement dans l’exercice de ses missions ?

Comme tout salarié, le DPO peut voir sa responsabilité pénale engagée s’il enfreint des dispositions pénales ou s’il se rend complice d’infractions dans le cadre de missions. Toutefois, la responsabilité civile du DPO pour l’exercice de ses fonctions ne peut pas être mise en jeu s’il s’agit d’un DPO salarié. En application du principe de la responsabilité civile de l’employeur du fait de ses préposés, l’action civile ne pourra être engagée que contre le responsable de traitement.

Découvrez nos offres

Pin It on Pinterest