Data Protection Officer (DPO) : dois-je en nommer un ?

Version non adaptée de notre article paru initialement dans la revue ALERTES & CONSEILS GESTION FINANCE aux éditions Francis Lefebvre.

La protection des données à caractère personnel est le poste réglementaire incontournable de l’année dont on attribue le pilotage au DPO. Mais toutes les entreprises ne sont pas égales face à cette législation renouvelée.

La portée de la protection des données à caractère personnel

40 ans d’évolution. La France a légiféré en matière de protection des données dès 1978 avec la loi « Informatique et Libertés ». En près de 40 ans de nombreux textes européens et nationaux sont venus modifier et compléter ce texte fondateur. Le Règlement Général relatif à la Protection des Données de 2016 (RGPD), qui sera directement applicable à compter du 25 mai 2018, est venu parachever cette évolution rendue indispensable par la transfiguration de l’informatique de 1978.

Rappel. Est une donnée à caractère personnel toute information permettant d’identifier directement ou indirectement une personne physique (nom patronymique, adresse email, numéro de contrat, immatriculation, etc.).

Couverture internationale. L’entrée en vigueur du RGPD en 2016 a permis à cette réglementation de prendre de la hauteur. Elle sera dorénavant applicable à tout organisme établi sur le territoire de l’Union européenne (UE) ou visant une personne physique se trouvant dans l’UE. Le champ d’application est considérable et impacte désormais une majeure partie des entreprises au niveau mondial.

Changement de paradigme. D’une logique déclarative en 1978 à une logique de responsabilisation des entreprises en 2018 (formalités à gérer en interne), les principes de fond essentiellement confortés ne perturberont guère les structures jusqu’ici conformes.  Quant aux autres, elles n’auront plus d’autre choix que de faire montre d’une prodigieuse capacité d’adaptation.

A noter. Toutes les structures sont concernées par la protection des données à caractère personnel, mais à des niveaux d’exigences différents. Il y a, dans tous les cas, des obligations et formalités à respecter.

Du Correspondant Informatique et Libertés (CIL) au DPO

Moins de liberté, plus de sécurité. Le CIL, de la plume même de la Présidente de la CNIL (le régulateur français des données à caractère personnel), est un « acteur incontournable de la protection des données ». Il permet de garantir le respect de la réglementation tout en constituant un vecteur de simplification des formalités administratives pour l’organisme qui le nomme. Pour autant, sous l’empire de la loi de 1978, sa désignation n’était pas obligatoire. Le règlement de 2016 dispose de façon inverse, prévoyant de nombreuses hypothèses de désignation obligatoire.

Attention ! Le RGPD sanctionne tout manquement à l’obligation de nommer un DPO à hauteur de 10.000.000€ ou 2% du chiffre d’affaires mondial de l’entreprise contrevenante, le montant le plus élevé étant retenu (art. 83-4).

Cas de désignation obligatoire. Le RGPD prévoit trois cas dans lesquels un organisme traitant des données à caractère personnel – qu’on appelle « responsable de traitement » – devra obligatoirement désigner un DPO (ou « délégué à la protection des données » en langue de Molière) :

1- Le responsable de traitement est une autorité ou un organisme public, incluant notamment les personnes physiques ou morales relevant du droit public dans des secteurs tels que les services de transport public ou d’approvisionnement en eau et en énergie, mais à l’exclusion des juridictions et des organismes privés exerçant des missions ou une autorité publiques ;

Exemple. Les quelques 35.000 communes de France devront désigner un DPO (en propre, de façon mutualisée ou externalisée).

2- Les activités de base du responsable de traitement le conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle, c’est-à-dire tout type de suivi et profilage effectués sur une quantité considérable de données à

caractère personnel au niveau régional, national ou supranational et qui pourraient affecter un grand nombre de personnes ;

Exemple. Une banque, une assurance, un opérateur téléphonique, un acteur national de publicité comportementale ou encore une compagnie internationale de transport privé effectuant un suivi des voyageurs devront désigner un DPO. En revanche un cabinet constitué de 3 médecins indépendants ne sera pas tenu d’en désigner un.

3- Les activités de base du responsable de traitement le conduisent à traiter à grande échelle des données dites « particulières » (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale, données génétiques, données biométriques, données de santé, données concernant la vie sexuelle ou l’orientation sexuelle) ou relatives à des condamnations pénales et infractions.

Exemple. Un hôpital, un laboratoire pharmaceutique d’envergure internationale ou encore les cinq principaux sites de rencontres en ligne devront désigner un DPO.

A noter. Le RGPD laisse une marge de manœuvre aux Etats-membres qui pourront prévoir des cas complémentaires de désignation obligatoire d’un DPO.

Le profil du DPO. Le RGPD, contrairement à la loi de 1978 pour le CIL, est relativement précis concernant les exigences portant sur le DPO s’agissant de ses qualifications et de sa formation continue. Le niveau d’expertise requis n’est pas strictement défini, mais il doit être adapté à la sensibilité, à la complexité et à la quantité de données que traite l’organisme qui le désigne. Le G29, regroupement de la CNIL et ses homologues européens, a brossé le portrait d’un DPO tel qu’il devrait pouvoir réunir les qualités et compétences suivantes (avis du 5 avril 2017) :

  • Aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
  • Expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue ;
  • Bonne connaissance du secteur d’activité et du fonctionnement de l’organisme qui le désigne, en particulier s’agissant des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données ;
  • Haut niveau d’intégrité et d’éthique professionnelle.

Il n’existe donc pas de profil type du DPO qui peut être une personne issue du domaine technique, juridique ou autre.

Attention ! Si votre entreprise ne dispose d’aucun profil adéquat en interne, le recrutement devra être anticipé. L’offre qualifiée se raréfie tandis que l’approche du 25 mai 2018 tend à faire exploser la demande.

DPO & Co. La désignation d’un DPO ne constitue qu’une étape dans un chantier de mise en conformité au RGPD, est empreinte d’un certain formalise et n’est pas anodine. Le responsable de traitement doit garantir l’indépendance du DPO en organisant son rattachement direct au plus haut niveau de direction, doit s’assurer de l’absence de tout conflit d’intérêt dans l’exercice de ses missions et doit l’accompagner dans la réalisation de ces dernières en mettant à sa disposition des ressources matérielles, organisationnelles et financières (art. 38 du RGPD).  Le DPO doit pouvoir s’affirmer tout à la fois première pierre et chef du chantier de conformité en matière de protection des données.

Un DPO sera un atout important pour tout organisme, y compris ceux n’ayant pas l’obligation d’en désigner un. Considérant qu’il est délicat de former une personne à la connaissance de votre entreprise, il sera dans bien des cas préférable de désigner en tant que DPO un collaborateur interne expérimenté qui suivra une formation DPO spécialisée.

By | 2018-06-27T13:39:48+00:00 20 décembre 2017|Data Lex|