Qui est le Data Protection Officer (DPO) ?

+8
mai 28, 2021
Qui est le Data Protection Officer (DPO) ?

« Un délégué à la protection des données (DPO), c’est le pilote de l’avion qui va animer le RSSI, les directions métiers et l’audit » déclarait Anthony Coquer le 15 novembre 2017 lors d’une table ronde consacrée au RGPD lors de Cloud Expo Paris. Mais alors, en quoi consiste vraiment l’exercice de ce nouveau métier qui intrigue ?

Le traitement des données à caractère personnel (DACP) a toujours été un sujet sensible et controversé, puisque certains considèrent que leur protection n’a pas vraiment d’intérêt. Par exemple, Eric Schmidt (ancien PDG de Google) avait indiqué en 2009 que « seuls les criminels se soucient de protéger leurs données personnelles », ce qui n’avait pas manqué de faire bondir un bon nombre de personnes. 

I/ La création du métier de Data Protection Officer

Au sein des entreprises existait le poste de Correspondant Informatique et Libertés (CIL), qui avait été créé par décret. Sa nomination est était facultative, mais il constituait l’interlocuteur principal en termes de protection des DACP. Il devait tout d’abord être consulté pour toute mise en place de traitement de DACP. Également, il devait dresser et tenir à jour la liste des traitements automatisés des DACP réalisés par l’entreprise pour laquelle il travaillait et veiller à leur régularité, tant en terme de conformité mais aussi en ce qui concerne les droits des personnes concernées (soit les droits d’accès aux données collectées et traitées, droits de rectification ou de radiation conformément aux articles 14, 15, 16 et 17 du RGPD). En cas de quelconque manquement à ces obligations, le CIL avait un devoir d’information de la Commission Nationale de l’Informatique et des Libertés (CNIL). Ce même devoir d’information se dessinait lors de la rédaction du bilan annuel de ses actions dans la structure au sein de laquelle il travaille, qu’il devra tenir à disposition de la CNIL.

Avec l’évolution du traitement des DACP, même considérées comme « le pétrole du XXIe siècle » d’après Patricia Faucher, responsable du service juridique de l’Institut national de la consommation (INC), de nouvelles dispositions sont entrées en vigueur afin d’encadrer au mieux ce traitement notamment le Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018. Ce dernier a d’ailleurs créé le métier de Data Protection Officer (DPO), plus connu en France sous le nom de Délégué à la Protection des Données (DPD), rendant  sa désignation obligatoire dans certains cas. Le DPO a sensiblement les mêmes fonctions que le CIL, mais il est davantage impliqué dans le traitement des DACP, dès la conception des processus de traitement.

II/ La démocratisation du métier de DPO, parfois obligatoire mais toujours indispensable

L’article 37 du RGPD dispose alors que la désignation d’un DPO est obligatoire lorsque : 

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

Ces conditions, certes claires, peuvent être précisées. En réalité, c’est un peu fait exprès, l’idée étant de laisser les autorités (CNIL française et son homologue européen CEPD, anciennement connu sous le nom de G29) publier des guide lines (lignes directrices). En l’occurrence, le G29 avait publié plusieurs lignes directrices selon lesquels il serait pertinent de désigner un DPO, ce dernier étant indispensable à la mise en oeuvre du RGPD

  • Si le traitement des DACP est nécessaire au bon fonctionnement de l’entreprise ou est lié aux activités de base de l’entreprise ;
  • Si le traitement des DACP est effectué à grande échelle (avec des indications permettant de savoir s’il s’agit d’une grande échelle en fonction de la durée du traitement, du nombre de DACP traitées et de l’étendue géographique de ce traitement) ; 
  • Si le traitement des DACP implique un suivi régulier et systématique des personnes concernées (comme par exemple l’utilisation de la géolocalisation).

Ces critères demeurent assez larges et laissent supposer une quasi-obligation de désigner un DPO, au risque de se retrouver dans certaines situations délicates… Que le DPO soit obligatoire ou non, il pèse sur le responsable de traitement une obligation de démontrabilité. En effet, la conformité RGPD doit être démontrée et il doit rendre des comptes. De cette obligation découleront de nombreuses missions pour le DPO. 

  • Les missions du DPO nécessitant une expertise pointue
  • Dans une entreprise, le DPO est un vecteur de sécurité juridique. Il porte la casquette de coordonnateur du plan de mise en conformité. Il  va contrôler et de constater le respect du RGPD. L’entreprise va mettre à sa disposition les ressources nécessaires face à ce défi inédit. Pour assurer sa mission, il va chercher à avoir un discours d’influence progressive. Il optera souvent  pour une stratégie de sensibilisation et de communication où il va chercher à révéler les « conscience data » des acteurs de son entreprise. Toutefois, son parcours s’assimile parfois à celui de Sisyphe.
  • Au regard de l’article 38 du RGPD, le DPO a une obligation quasi systémique d’être en lien avec les acteurs de l’entreprise, même en phase de projet puisqu’il est associé à toutes les questions concernant la protection des DACP. Il va tenir un registre des activités de traitements, garantir la sécurité et la confidentialité des données personnelles, réaliser le cas échéant des études d’impact et garantir l’exercice des droits. Il est l’œil professionnel de la protection de la vie privée, il lui incombe une obligation de se former. 

III/ Les missions du DPO nécessitant une expertise pointue

Dans une entreprise, le DPO est un vecteur de sécurité juridique. Il porte la casquette de coordonnateur du plan de mise en conformité. Il  va contrôler et de constater le respect du RGPD. L’entreprise va mettre à sa disposition les ressources nécessaires face à ce défi inédit. Pour assurer sa mission, il va chercher à avoir un discours d’influence progressive. Il optera souvent  pour une stratégie de sensibilisation et de communication où il va chercher à révéler les « conscience data » des acteurs de son entreprise. Toutefois, son parcours s’assimile parfois à celui de Sisyphe.

Au regard de l’article 38 du RGPD, le DPO a une obligation quasi systémique d’être en lien avec les acteurs de l’entreprise, même en phase de projet puisqu’il est associé à toutes les questions concernant la protection des DACP. Il va tenir un registre des activités de traitements, garantir la sécurité et la confidentialité des données personnelles, réaliser le cas échéant des études d’impact et garantir l’exercice des droits. Il est l’œil professionnel de la protection de la vie privée, il lui incombe une obligation de se former. 

IV/ Le processus très simplifié de désignation du DPO

La désignation du DPO se fait en ligne, par le biais d’un formulaire en 4 étapes permettant de faciliter les démarches puisqu’aucune formalité administrative complémentaire ne sera nécessaire. La personne réalisant la désignation ne nécessite aucune qualité nécessaire, et le DPO désigné peut être une personne morale ou physique. La désignation doit être réalisée pour chaque entité concernée, ce qui peut vite s’avérer chronophage si le nombre d’entités est élevé. Dans ce cas, il est alors possible de prendre contact avec la CNIL afin de désigner le DPO simultanément pour plusieurs entités. Suite à ce processus, la CNIL émet un récépissé (qui intègrera la date de l’entrée en vigueur de la désignation, l’identité du DPO désigné ainsi que ses coordonnées publiques) afin de confirmer la désignation.

D’après le rapport d’activité 2020 de la CNIL près de 73 331 organismes ont aujourd’hui désigné un DPO. En 2020, près de 25 949 DPO ont été désignés. Ce constat dénote de l’ampleur grandissante de la fonction.

⚠️ Si une entreprise disposait d’un CIL, la reconversion de ce dernier en DPO n’est pas automatique, il faut alors absolument effectuer la démarche en ligne.

Le DPO peut être interne, externe, mutualisé, ou encore exercer son activité à temps partiel. Dans ce dernier cas, s’il exerce une autre fonction au sein de l’entreprise, il est indispensable de veiller à l’absence de conflit d’intérêts. Ainsi, le DPO peut pas être juge et partie, et doit exercer ses fonctions en tout indépendance, et ne pourra pas être sanctionné dans l’exercice de ses missions.

Par exemple, un directeur général ou un directeur des ressources humaines ne peuvent exercer la fonction de DPO, puisque ces postes supposent un impact direct sur le traitement des DACP.

Remerciez le redacteur :

+8

Articles associés

Restez informé