Le délégué à la protection des données

par lordprivacy | Déc 9, 2021

Le délégué à la protection des données (DPO)

Responsable de traitement, pilote de la mise en conformité.

DPO DÉFINITION

- - DPD : Délégué à la Protection des Données
  - DPO : Data Protection Officer (acronyme anglais)

Le Délégué à la Protection des Données ou Data Protection Officer (DPO) est désigné par le responsable de traitement. Le DPO est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de la structure qui l’a désigné. Véritable « chef d’orchestre » de la protection des données, il occupe un rôle central dans la gouvernance des données personnelles.

Il informe, conseille et accompagne le responsable de traitement en matière de protection des données personnelles et assure le contrôle du respect des obligations légales et règlementaires. Parmi ses missions, le DPO doit également assurer la documentation de la conformité de la structure.

Point de contact entre l’organisme qui le désigne et la CNIL, il est par ailleurs l’interlocuteur privilégié pour répondre aux questions relatives aux données personnelles.

Aujourd’hui, on compte près de 30 000 personnes (physiques ou morales) en France qui exercent cette fonction pour 80 000 organismes ayant désigné un DPO.

MISSIONS DU DPO

DPO OBLIGATOIRE ?

Comment savoir si votre organisme doit désigner un délégué à la protection des données ? Le DPO est-il toujours obligatoire ?

Le RGPD prévoit trois cas dans lesquels une entité est dans l’obligation de désigner un DPO. Peu importe que l’organisme soit responsable de traitement ou sous-traitant de données personnelles, la désignation du DPO est obligatoire pour :

✔️ les autorités ou les organismes publics (exemple : une collectivité territoriale) ;

✔️ les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle (exemple : les fournisseurs de services de téléphonie ou internet) ;

✔️ les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

Dans les cas où la désignation d’un délégué à la protection des données n’est pas obligatoire, la structure peut tout de même procéder volontairement à la désignation d’un DPO.

En ce sens, la CNIL recommande de procéder à la désignation d’un DPO dès lors qu’une entreprise rencontre des problématiques relatives à la protection des données personnelles. Cela présente en effet l’avantage de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données.

COMMENT DÉSIGNER UN DPO ?

Il n’existe pas de profil type pour exercer la fonction de DPO. Selon une étude réalisée concernant les DPO par l’AFPA en partenariat avec la CNIL :

✔️ environ 28 % des DPO ont un profil informatique ;

✔️ le même pourcentage un profil juridique ;

✔️ et les 43 % restant ont quant à eux travaillé dans l’administratif, la finance, la conformité, l’audit, etc.

Le RGPD impose toutefois que le délégué dispose d’un certain niveau d’expertise. L’organisme doit également veiller à l’absence de conflit d’intérêts avec d’autres missions.

Le RGPD précise que le DPO est désigné « sur la base » de ses qualités professionnelles et ses capacités à accomplir ses missions (voir schéma « missions du DPO »). Les qualités professionnelles du DPO incluent, entre autres, ses connaissances du droit et des pratiques en matière de protection des données.

Pour la désignation d’un DPO, les points suivants sont à prendre en compte :

✔️ les connaissances et compétences de la personne pressentie pour être DPO ;

✔️ l’absence de conflit d’intérêts ;

✔️ la formalisation de la désignation auprès de l’autorité compétente ;

✔️ la garantie de son indépendance ;

✔️ la mise à disposition des moyens nécessaires à l’exécution de ses missions.

S’assurer qu’il dispose des connaissances et de compétences suffisantes :

✔️ une expertise juridique et technique en matière de protection des données personnelles ;

✔️ de bonnes connaissances sur le secteur d’activité et de la réglementation sectorielle applicable ;

✔️ une bonne compréhension de l’organisation interne et en particulier des opérations de traitement, du système d’information et des besoins de l’organisme ;

✔️ concernant une autorité publique ou un organisme public, une bonne connaissance des règles et procédures administratives applicables.

Le niveau d’expertise dépend de la sensibilité, de la complexité et du volume de données traitées par la structure. En tout état de cause, si la personne pressentie comme DPO ne possède pas un niveau de connaissances « adéquat » avant son entrée en fonction, il faudra nécessairement développer ses connaissances par des formations.

Le DPO doit également présenter des qualités personnelles : intégrité, haut niveau d’éthique professionnelle, capacité relationnelle et de communication pour vulgariser et convaincre.

Absence de conflit d’intérêts

Si le DPO peut exercer d’autres fonctions au sein de la structure, il ne doit toutefois pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitement.

Le DPO ne doit et ne peut pas être « juge et partie » concernant les activités de traitement de données personnelles. L’existence d’un conflit d’intérêts s’apprécie au cas par cas. Sont le plus souvent citées comme des fonctions susceptibles de provoquer un conflit d’intérêts : directeur général des services, directeur des opérations, responsable des ressources humaines, médecin-chef, responsable du département marketing, responsable du service informatique, etc.

Enfin, il est conseillé de documenter l’analyse conduisant à exclure l’existence d’un conflit d’intérêts.

Formaliser et communiquer sur sa désignation

Concernant la formalisation et la communication de la désignation du DPO, il convient de :

✔️ formaliser la désignation d’un DPO par un acte juridique ou un document spécifique comme une lettre de mission, un avenant au contrat de travail, un contrat de prestation de service (si DPO externe), etc ;

✔️ mener une communication auprès des collaborateurs, IRP et autres organes de l’entreprise sur la fonction et les coordonnées du DPO désigné. Les personnes concernées internes à l’entreprise doivent pouvoir le joindre facilement (exemple : note d’information à l’ensemble du personnel) ;

✔️ procéder à la désignation auprès de l’autorité de contrôle compétente. Une organisation qui travaille dans plusieurs pays, dont la France, doit s’assurer que la CNIL bien est l’autorité compétente. Si l’autorité compétente est la CNIL, la désignation du délégué doit se faire en ligne via le téléservice dédié.

Assurer son indépendance dans l’exécution de ses missions de DPO :

✔️ pas de sanctions pour l’exercice de ses fonctions de DPO, il n’est pas responsable en cas de non-conformité au RGPD. Il ne peut pas être licencié dans l’exercice de ses fonctions ;

✔️ pas d’instruction dans le cadre de l’exercice de ses missions de DPO ;

✔️ pas de conflit d’intérêts en cas de cumul de fonctions.

L’indépendance du DPO signifie également qu’il doit être en capacité de s’adresser directement au niveau le plus élevé de l’organisation sur une problématique spécifique, s’il l’estime nécessaire. D’autre part, le délégué doit être soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

Mettre à sa disposition les moyens nécessaires pour compléter ses missions de DPO

Les ressources nécessaires à la réalisation des tâches du DPO doivent être mises à sa disposition, ce qui signifie notamment que le DPO doit avoir :

✔️ assez de temps pour effectuer ses missions ;

✔️ des moyens humains et matériels adéquats ;

✔️ accès aux informations utiles (aux données et aux opérations de traitement par exemple) ;

✔️ accès le plus tôt possible à toutes les questions relatives à la protection des données lors de la création ou de l’évolution d’un traitement (notamment pour veiller au respect des principes de protection de données à la conception ou par défaut) ;

✔️ des moyens d’entretenir ses connaissances spécialisées.

ÉTUDE AUPRÈS DES DPO : LES CHIFFRES CLÉS

Le délégué à la protection des données peut être interne à l’organisme (membre du personnel de l’organisme), externe (sur la base d’un contrat de prestation de service) et/ou mutualisé entre plusieurs entités.

Une étude de 2020 du ministère du Travail, de l’Emploi et de l’Insertion, pour laquelle 1660 DPO désignés auprès de la CNIL ont été interrogés, précise que :

✔️ 72 % sont des DPO internes

✔️ 13 % sont des DPO internes mutualisés

✔️ 15 % sont des DPO externes

FAQ

Les organismes privés chargés d’une mission de service public ont-ils l’obligation de désigner un DPO comme les organismes publics ou les autorités publiques ?

Les organismes privés chargés d’une mission de service public conservent leur statut de droit privé et ne sont donc pas tenus de désigner un DPO en principe. Il leur est toutefois fortement conseillé d’en désigner un dans les lignes directrices relatives au DPO du CEPD.

Comment savoir si un traitement de données remplit le critère de grande échelle ?

Une analyse au cas par cas est nécessaire pour évaluer si un traitement est réalisé à grande échelle. Toutefois, il n’y pas de seuil applicable à toute situation. Les facteurs à prendre en compte sont les suivants : le nombre de personnes concernées, le volume ou le spectre des données traitées, la durée/permanence du traitement, l’étendue géographique de l’activité de traitement.

Un DPO doit-il être certifié pour qu’il soit désigné auprès de la CNIL ?

Non, la certification est un gage de qualité ou de compétence. Toutefois, un DPO n’a pas l’obligation d’être certifié.

Comment déterminer si une personne présente un risque de conflit d’intérêts entre ses missions de DPO et ses autres fonctions ?

Pour savoir si une personne présente un risque de conflit d’intérêts il faut étudier si elle détermine ou participe à la détermination de finalités et moyens d’un ou plusieurs traitement de données personnelles. Le DPO ne peut pas être « juge et partie ».

Est-ce que je peux désigner plusieurs DPO pour une même structure ?

Un organisme ne peut désigner qu’un seul DPO. Une équipe peut toutefois venir prêter main forte au délégué à la protection des données pour accomplir ses missions.

Un salarié peut-il refuser d’être désigné DPO ?

Oui, si sa désignation constitue une modification substantielle de son contrat de travail.

Le DPO peut-il être responsable de la non-conformité au RGPD d’un organisme ?

Le délégué à la protection des données n’est pas responsable si le RGPD n’est pas respecté par la structure qui l’a désigné. Il incombe au responsable de traitement de s’assurer que les traitements sont effectués conformément au RGPD et d’être en mesure de le démontrer. Même une délégation de pouvoir ne saurait opérer un transfert de responsabilité (car risque de conflit d’intérêts).

Le DPO interne peut-il être sanctionné pénalement ou civilement dans l’exercice de ses missions ?

Comme tout salarié, le DPO peut voir sa responsabilité pénale engagée s’il enfreint des dispositions pénales ou s’il se rend complice d’infractions dans le cadre de missions. Toutefois, la responsabilité civile du DPO pour l’exercice de ses fonctions ne peut pas être mise en jeu s’il s’agit d’un DPO salarié. En application du principe de la responsabilité civile de l’employeur du fait de ses préposés, l’action civile ne pourra être engagée que contre le responsable de traitement.

Découvrez nos offres

RGPD : qui est concerné ?

par lordprivacy | Oct 7, 2021

RGPD : qui est concerné ?

Entrepreneur, dirigeant ou salarié : vous vous demandez si votre entreprise est concernée par la mise en conformité au RGPD ?

Plus de 3 ans après son application, faisons aujourd’hui le point sur les critères d’application du Règlement Général sur la Protection des Données.

LE RÔLE DU RGPD

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.

Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.

Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.

QUI EST CONCERNÉ PAR LE RGPD ?

L’article 2 du RGPD indique que ce règlement s’applique : « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.»

C’est ce qu’on appelle le critère d’application matériel.

Tous les traitements de données personnelles sont concernés qu’ils soient effectués sur papier ou support numérique. Pour en savoir plus sur la notion de traitement de données, rendez-vous sur notre article « Qu’est-ce qu’un traitement de données à caractère personnel ? ».

OÙ S’APPLIQUE LE RGPD ? DANS QUELS PAYS EST-IL APPLICABLE ?

L’article 3 du RGPD prévoit ce qu’on appelle le champ d’application territorial du règlement.

« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Le règlement s’impose donc aux organisations situées sur le territoire de l’Union européenne qui traitent des données. Le traitement peut avoir lieu ou non dans l’Union européenne, le RGPD restera applicable si l’organisation est située sur le territoire d’un des pays membres.

Attention, le RGPD va également s’appliquer aux organisations non établies en Union européenne qui proposent des biens et des services ou suivent le comportement de personnes situées sur ce territoire.

Par exemple : une entreprise située aux États-Unis, qui vend des produits en Europe et collecte des données personnelles, sera soumise au RGPD, de la même manière qu’une entreprise de l’Union européenne.

EXCEPTIONS À L’APPLICATION DU RÈGLEMENT

Des exceptions sont toutefois prévues, le RGPD ne s’applique pas aux traitements suivants effectués :

✔️ dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union, par exemple la sécurité nationale ;

✔️ par les États membres dans le cadre d’activités qui relèvent des dispositions spécifiques concernant la politique étrangère et de sécurité commune ;

✔️ par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, par exemple l’organisation d’un évènement entre amis ;

✔️ par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection des menaces pour la sécurité publique et la prévention de telles menaces.

CONCRETEMENT, À QUI S’APPLIQUE LE RGPD ?

Le RGPD s’applique à toutes les organisations qui traitent des données personnelles :

✔️ publiques comme privées ;

✔️ qui effectuent des traitements de données pour leurs propres comptes ou non ;

✔️ peu importe sa taille (de la PME au grand groupe) ;

✔️ peu importe son but lucratif ou non (les associations et les collectivités territoriales sont elles aussi concernées).

Évidemment l’impact pour les entreprises ne sera pas le même selon la nature, le contexte, les finalités et les risques des traitements mis en œuvre.

Toutefois et même pour les TPE des obligations légales sont à respecter et des bonnes pratiques à mettre en œuvre en vertu du RGPD.

Toutes les entreprises auront l’obligation notamment de :

✔️ constituer un registre des traitements de données mis en œuvre ;

✔️ faire le tri dans les données personnelles collectées ;

✔️ respecter l’information et le droit des personnes concernées ;

✔️ sécuriser les données personnelles.

Par ailleurs, les entreprises qui traitent des données pour le compte d’une autre entité soumise au RGPD, devront également respecter le règlement.

Ces organismes sont qualifiés de sous-traitants de données personnelles. Ils auront des obligations spécifiques visant à garantir la protection des données personnelles.