Skip to content

RGPD : le délégué à la protection des données (DPO)

RGPD : le délégué à la protection des données (DPO)

Le Règlement européenne 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) prévoit la désignation, la fonction et les missions du délégué à la protection des données.

Ce règlement est accompagné de lignes directrices du G29. Elles précisent et accompagnent l’application des règlementations du RGPD relatives au délégué à la protection des données. Cela permet aux responsables de traitement des données et aux sous-traitants de mettre en place conformément au RGPD la fonction de délégué à la protection de données.

Le G29 est un organe européen indépendant et compétent concernant la protection des données et la vie privée des personnes concernées. Il regroupe l’ensemble des Commissions Nationales de l’Informatique et des Libertés (CNIL) européennes.

Les règlementations relatives au délégué à la protection des données se trouvent aux articles 37, 38 et 39 du RGPD. C’est un acteur indépendant qui accompagne un organisme dans le but de permettre une protection optimale des données personnelles.

 

La quasi-obligation de désigner un délégué à la protection des données

La nomination d’un délégué à la protection des données n’est pas toujours une obligation. En effet, la désignation d’un délégué n’est obligatoire que dans trois situations :

  • Obligation de désignation d’un délégué pour les autorités et organismes publics (exemple : les collectivités locales et les établissements publics)
  • Obligation de désignation d’un délégué pour les organismes dont l’activité principale consiste à suivre le comportement des personnes à grande échelle
  • Obligation de désignation d’un délégué pour les organismes dont l’activité principale consiste à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et des infractions

La notion de « traitement à grande échelle » est floue et laisse place à l’interprétation. A l’heure du Big Data, nombreuses sont les entreprises qui font du traitement de données personnelles à grande échelle (via le profilage notamment). C’est donc devenu une quasi-obligation de désigner un délégué à la protection de données pour de nombreuses entreprises. Les entreprises concernées sont généralement spécialisées dans le E-commerce et les objets ayant un accès internet, Ceci dit ces entreprises ne sont pas les seules concernées par le RGPD.

Le délégué à la protection des données a une position centrale dans le RGPD. Il n’est certes pas obligatoire de désigner un délégué mais le délégué est indispensable à la mise en œuvre du RGPD. La désignation du délégué à la protection de données devient donc une quasi-obligation.

En dehors des trois cas légaux, la désignation n’est pas obligatoire mais reste tout de même fortement recommandée par les lignes directrices du G29.
Trois critères permettant de savoir si oui ou non, il est recommandable de nommer un délégué à la protection des données dans une entreprise y sont cités :

  • Si le traitement des données concerne les activités de bases de l’organisme ou si le traitement des données est nécessaire à l’activité de l’organisme
  • Si le traitement est effectué à grande échelle (interprétation au cas par cas du volume considérable en nombre, durée et étendue géographique des données personnelles traitées)
  • Si le traitement de données personnelles implique un suivi régulier et systématique des personnes concernées. Le suivi est régulier s’il est continu et systématique s’il est conforme à un système élaboré à cette fin. Le suivi doit par exemple permettre de prédire les préférences ou le comportement prochain d’une personne sur internet grâce à l’utilisation de cookies ou de la géolocalisation.

Attention ! Il est fortement recommandé d’anticiper la nomination du délégué à la protection des données afin que soit mise en place la conformité de l’entreprise au RGPD avant le 25 mai 2018.

 

La personne du délégué à la protection des données

Le délégué à la protection de données peut être interne ou externe à l’entreprise.

Il peut également être mutualisé. Un délégué peut être désigné pour l’ensemble d’un groupe d’entreprises. Cette option peut être intéressante car elle permet d’avoir une politique commune au sein du groupe d’entreprises. Il est de plus ainsi plus facilement joignable entre les entreprises. En effet, il peut ainsi communiquer aisément entre les entreprises avec les différentes personnes concernées par le traitement de données.

Différence entre l’ancien CIL et le nouveau délégué à la protection de données :

La nomination d’un CIL (correspondant Informatique et Libertés) a toujours été facultative pour n’importe quel organisme. Comme vu ci-dessus, ce n’est pas le cas pour le délégué à la protection de données.

On parle néanmoins souvent du délégué à la protection de données du RGPD comme étant le successeur du CIL. En effet, leurs statuts sont similaires. Néanmoins, les exigences sont plus strictes envers le nouveau délégué. Elles concernent les qualités et la formation en continue du délégué à la protection de données :

  • Qualités : qualités professionnelles et des connaissances spécialisées en droit de la protection des données et des pratiques de l’entreprise concernant la protection des données
  • Formation continue : mise à niveau constante des qualités du délégué pour qu’il puisse assurer tout le long de la vie de l’entreprise une protection optimale des données personnelles.

Etant donné que les exigences envers le délégué sont renforcées, ses missions sont également renforcées par rapport au CIL.

C’est un réel travail d’équipe qui doit se créer entre l’entreprise et son délégué à la protection de données : Il a un rôle de conseil et de sensibilisation au sein de l’entreprise auprès du personnel. L’entreprise ou l’organisme doit remettre au délégué toutes les informations et ressources nécessaires permettant de remplir ses missions de manière effective dans les meilleures conditions. L’entreprise doit enfin introduire le délégué dans chaque étape d’un projet lorsque la protection des données personnelles en est touchée.

Les qualités du délégué à la protection de données :

Comme vu ci-dessus et d’après l’article 37 al.5 RGPDE, le délégué à la protection de données doit être désigné sur la base de ses qualités professionnelles et ses connaissances spécialisées du droit et des pratiques en matière de protection de données, et enfin de sa capacité à accomplir les missions.
Les critères requis sont les suivants :

  • Une communication efficace au sein de l’entreprise et l’indépendance vis-à-vis de l’entreprise.
  • Qualité d’expert en matière de protection de données personnelles et formation continue, c’est-à-dire l’adaptation des compétences du délégué à l’activité de l’entreprise et aux traitements des données personnelles.
  • Création d’un lien au sein des filiales d’un même groupe (exemple : créer une équipe d’experts en protection de données au sein du groupe d’entreprises)
  • Avoir une position efficace dans l’entreprise en interne permettant de faire remonter les informations concernant la protection des données le plus vite possible en cas de risques de violation des données personnelles

Il n’existe donc pas de profil type du délégué à la protection de données. Sa profession et sa formation (juridique, informatique ou autre) n’est pas pertinente pour cette fonction.

Les personnes ayant été auparavant désignées comme CIL sont bien sûr les premiers à avoir vocation à devenir délégués à la protection des données. Les critères de qualités professionnelles et connaissances spécialisées ainsi que le critère d’effectivité sont dans ce cas remplis.

Attention ! La reconversion du CIL en délégué à la protection des données n’est pas pour autant automatique. Les organismes ayant auparavant désigné un CIL devront faire part à l’autorité de contrôle (la CNIL) du choix de reprendre l’ancien CIL pour le poste de délégué.

Fonction de délégué à la protection des données et conflit d’intérêts :

D’après l’article 38 al. 6 du RGPD, « le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

La profession de délégué à la protection des données peut s’exercer à temps plein ou à temps partiel.
Si elle est exercée à temps partiel, il est fréquent que le délégué occupe un autre poste le reste du temps au sein de l’entreprise.

Attention ! Dans ce cas, il n’a pas le droit d’occuper des fonctions ayant un impact direct sur le traitement des données personnelles au sein de l’entreprise. Il doit rester imparti au traitement de données.

L’appréciation du conflit d’intérêts s’effectue au cas par cas. Il y a interdiction de conflit d’intérêts avec d’autres missions au sein de l’entreprise qui puissent l’influencer sur ses décisions en tant que délégué à la protection de données

Exemples de professions entrant en conflit avec la fonction de délégué à la protection des données : directeur général, responsable des ressources humaines ou directeur financier. Il suffit que la profession suppose la détermination des finalités du traitement ou des moyens utilisés pour traiter des données personnelles.

 

La responsabilité du délégué à la protection des données

La responsabilité du délégué à la protection des données est précisée dans les lignes directrices du G29 : La responsabilité du délégué ne peut pas être engagée en cas de non-conformité de l’entreprise au RGPD. Dans ce cas, c’est le principe de co-responsabilité du responsable au traitement et des sous-traitants qui s’applique. Le transfert de responsabilité du responsable au délégué est interdit.

Pourquoi ? Le délégué à la protection des données n’a pas de pouvoir décisionnel concernant la finalité et les moyens du traitement des données personnelles.

Le délégué est indépendant dans ses fonctions du reste du personnel de l’entreprise. Ainsi, le responsable du traitement ou les sous-traitants ne peuvent pas le relever de ses fonctions. Le responsable du traitement ne pourra pas renvoyer le délégué en cas de désaccord avec celui-ci sur une question relative à la protection de données.

Alors, quelles sanctions peuvent être appliquées au délégué ?

Le délégué peut voir sa responsabilité pénale engagée s’il viole de manière intentionnelle une des dispositions pénales du RGPD ou de la Loi Informatique et Libertés. De plus, il n’échappe pas à un éventuel licenciement au sens du Code du travail, c’est-à-dire pour une faute grave ou un harcèlement physique au sein de l’entreprise par exemple.

 

L’exercice des fonctions du délégué à la protection des données

Le délégué à la protection des données doit garantir les droits et libertés fondamentales des personnes dont les données sont collectées au sein de l’organisme : le délégué doit informer les personnelles et leur offrir la possibilité d’exercer leurs droits (comme par exemple le droit à la vie privé). Il doit garantir le respect de ces droits et libertés fondamentales tout au long de l’activité de l’entreprise et de la mise en œuvre du traitement de données personnelles.

Il doit permettre la mise en œuvre du RGPD au sein d’un organisme. C’est la mission pour laquelle il a été désigné. Pour cela, lui sont attribuées différentes missions au sein de l’organisme :

  • Information et conseil du responsable de traitement et des sous-traitants et enfin des employés
  • Contrôle du respect de l’entreprise vis-à-vis du RGPD et du droit national
  • Coopération avec l’autorité de contrôle et point de contact entre l’entreprise et l’autorité de contrôle
  • Conseil de l’organisme sur la réalisation d’une analyse d’impact liée à la protection des données au sein de l’organisme.

Bon à savoir ! L’analyse d’impact préalable est une obligation du responsable du traitement dans certains cas. C’est le délégué qui décide de l’importance et de l’opportunité d’une telle analyse pour l’entreprise. Il conseillera également sur la méthode à suivre, les mesures de protection à mettre en œuvre pour limiter la violation des droits des personnes concernées, et la qualité de l’analyse effectuée ainsi que sa conformité avec le RGPD

L’organisme se doit de supporter le délégué dans ses missions et de lui conférer tous les moyens d’actions nécessaires à cette fin, c’est-à-dire :

  • Permettent l’implication du délégué dans toutes les questions relatives à la protection des données
  • Fournir les ressources nécessaires au délégué lui permettant de remplir ses tâches (exemple : laisser le temps nécessaire à la réalisation des missions, une formation en continu, les ressources financières pour mettre en œuvre ses tâches, etc…)
  • Laisser son indépendance au délégué (exemple : absence de sanctions lors de l’exercice de ses fonctions)
  • Facilitation de l’accès aux données et aux traitements des données (coopération et accès facilité entre les différents services de l’entreprise)
  • Empêcher les conflits d’intérêts

A retenir ! Le champ d’action du délégué à la protection des données doit s’étendre à l’ensemble des traitements de données personnelles au sein de l’entreprise.

Les lignes directrices du G29 permettent au responsable au traitement et ses sous-traitants d’assister le délégué dans sa fonction et ses missions. Ce sont des recommandations. Il n’y a pas d’obligations de suivre les lignes directrices du G29 mais cela reste toutefois fortement conseillé. Elles fournissent des exemples concrets de moyens d’actions selon la taille, la structure ou l’activité de l’organisme.

Bon à savoir ! Il est conseillé d’organiser préalablement l’organisme à l’arrivée d’un délégué à la protection des données en confiant au CIL actuel ou au futur délégué les missions suivantes :

  • Inventaire des différents traitements de données personnelles en cours dans l’organisme
  • Mise en place de procédures permettant la mise en conformité du traitement de données au RGPD (exemple : application du principe de Privacy by design)
  • Identification des risques concernant la protection des données personnelles
  • Sensibilisation des différents services de l’organisme aux nouvelles obligations ressortant du RGPD

 

Le coût du recours à un délégué à la protection des données

Il n’existe pas de grille de rémunération actuelle étant donné que la profession est récente.

Si le délégué à la protection des données est interne à l’entreprise, il occupe également d’autres fonctions au sein de l’entreprise et la rémunération de la fonction de DPO sera additionnée à sa précédente rémunération.

Si le délégué à la protection des données est externe à l’entreprise, le coût peut varier selon le secteur d’activité de l’organisme, l’ampleur des traitements de données effectués et le niveau de protection des données dans les traitements de données.

Attention ! En général, le coût d’un délégué à la protection des données est assez élevé. En effet, sa fonction ne se résume pas qu’au simple conseil. Le délégué doit également apporter des réponses à l’organisme et mettre en place les mesures et techniques nécessaires à l’optimisation de la protection des données.

Une entreprise qui fait le traitement de données santé doit être encore plus vigilante quant à la conformité, car les données santé dans le cadre du RGPD sont considérées comme très sensibles.Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments