Le délégué à la protection des données ("Data Protection Officer" ou "DPO" en anglais) occupe une place importante au sein du cadre juridique créé par le règlement général sur la protection des données (RGPD).
Les articles 37 à 39 du RGPD posent les règles applicables à la désignation, à la fonction et aux missions du DPO.
Par ailleurs, l’ancien groupe de travail « Article 29 » avait adopté le 5 avril 2017 des lignes directrices concernant les DPO. Ces lignes directrices, approuvées par le Comité européen de la protection des données ("European Data Protection Board" ou "EDPB" en anglais), contiennent des recommandations à destination des responsables de traitement et des sous-traitants ainsi que des DPO auxquelles la CNPD se rallie.
1. Quand la désignation d’un DPO est-elle obligatoire ?
La désignation d’un DPO est obligatoire dans trois hypothèses :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
A moins qu’il soit évident qu’un organisme n’est pas tenu de désigner un DPO, il est recommandé de documenter l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPO.
Comme indiqué dans la première hypothèse ci-dessus, toute autorité publique ou organisme public doit désigner un DPO et ce, dès lors qu’il traite des données à caractère personnel en qualité de responsable du traitement ou de sous-traitant.
Cette règle s’applique quel que soit la taille ou le nombre de salariés de l’autorité publique ou de l’organisme public.
La notion d’autorité publique et d’organisme public recouvre les administrations et services de l’Etat, les communes, ainsi que les autres organismes de droit public, tels que les établissements publics.
2. Qu’est-ce qu’on entend par « activités de base » ?
Les activités de base ont trait aux activités principales du responsable du traitement ou du sous-traitant et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire. Les «activités de base» peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
Exemple : Les activités de base d’une banque impliquent des traitements de données financières de ses clients. La banque doit aussi traiter des données RH de ses employés, mais c’est une activité accessoire.
3. Qu’est-ce qu’on entend par « grande échelle » ?
La notion de « grande échelle » n’est pas définie dans le RGPD. Il est recommandé de prendre en considération, en particulier, les facteurs suivants :
- le nombre de personnes concernées (valeur absolue ou valeur relative par rapport à la population concernée) ;
- le volume et/ou le spectre des données traitées ;
- la durée ou permanence des traitements de données ;
- l’étendue géographique des traitements de données.
Exemple de traitement à grande échelle : Le traitement de données de patients par un hôpital (contrairement au traitement de données de patients effectués par un médecin exerçant à titre individuel).
4. Qu’est-ce qu’on entend par « suivi régulier et systématique » ?
Le RGPD ne définit pas cette notion, mais elle inclut clairement toutes les formes de suivi et de profilage sur Internet, y compris à des fins de publicité comportementale. La notion de suivi ne se limite toutefois pas à l’environnement en ligne.
Le suivi est régulier lorsqu’il y a une certaine répétition, périodicité, constance ou permanence.
Le suivi est systématique lorsqu’il est méthodiquement organisé, préétabli ou fait partie d’une stratégie.
Exemple : Une banque qui doit régulièrement et systématiquement suivre l’évolution des comptes et des transactions de ses clients notamment dans le cadre de ses obligations liées à la prévention de la fraude, du blanchiment d’argent ou du financement du terrorisme.
5. Peut-on désigner un DPO sur une base volontaire ?
Oui, un organisme peut désigner un DPO sur une base volontaire. Dans ce cas, les exigences légales (articles 37 à 39 du RGPD) s’appliquent à sa désignation, sa fonction et à ses missions comme si sa désignation avait été obligatoire. Il n’y a donc aucune différence de statut entre un DPO désigné de manière obligatoire ou volontaire.
6. Qui peut être désigné en tant que DPO ?
Le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant (DPO interne), ou exercer ses missions sur la base d’un contrat de service (DPO externe).
Le DPO doit avoir les qualités professionnelles requises, exercer ses fonctions en toute indépendance et ne pas exercer d’autres missions et tâches qui entraîneraient un conflit d’intérêts.
Les autorités publiques ou organismes publics ont la possibilité, en tenant compte de leur structure organisationnelle et de leur taille, de mutualiser leur DPO avec d’autres autorités publiques ou organismes publics. Mais dans ce cas, chacune des entités concernées devra compléter le formulaire de désignation du DPO et le transmettre à la CNPD.
7. Quelles sont les qualités professionnelles requises ?
Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.
Le RGPD ne précise pas le niveau de connaissance requis mais il doit être en rapport avec la sensibilité, la complexité et le volume de données traitées par le responsable du traitement ou le sous-traitant.
Les compétences et l’expertise nécessaires doivent notamment inclure :
- expertise relative aux législations nationale et européenne en matière de protection des données, y compris une connaissance approfondie du RGPD ;
- compréhension des opérations de traitement effectuées par le responsable du traitement ou le sous-traitant ;
- compréhension des technologies de l’information et de la sécurité des données ;
- connaissance du secteur d’activité et de l’organisme ;
- capacité à promouvoir une culture de la protection des données au sein de l’organisme.
8. Qu’est-ce qu’on entend par « conflit d’intérêts » ?
Le DPO peut exercer d’autres missions et tâches, à condition qu’elles n’entraînent pas de conflit d’intérêts. Le DPO ne peut pas exercer au sein de l’organisme une fonction qui l’amènerait à déterminer les moyens (comment ?) et les finalités (pourquoi ?) du traitement de données. Cet aspect doit être étudié au cas par cas.
Exemples de fonctions qui peuvent être considérées comme incompatibles avec la fonction de DPO : Toutes les fonctions dirigeantes telles que directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. Peut également donner lieu à un conflit d’intérêts l’activité de sous-traitant et de DPO (externe) pour un même responsable du traitement.
De plus, le conflit d’intérêt peut provenir d’une fonction antérieure exercée par le DPO (cas par exemple d’un RSSI qui devient DPO et qui serait amené à contrôler des traitements qu’il a lui-même mis en place dans le cadre de sa fonction précédente).
9. Est-ce que le DPO doit être agréé par la CNPD ?
Non, la CNPD ne délivre pas d’agrément aux DPO. Le responsable du traitement ou le sous-traitant doivent simplement communiquer les coordonnées du DPO à la CNPD.
La CNPD peut toutefois contrôler si les articles 37 à 39 du RGPD règlementant la désignation, la fonction et les missions du DPO sont respectés.
10. Que devient le chargé de la protection des données ?
La loi abrogée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel permettait au responsable du traitement de désigner, sur une base volontaire, un « chargé de la protection des données ». Le DPO est le successeur naturel du chargé de la protection des données, mais il existe des différences au niveau de la désignation, de la fonction et des missions.
Avec l’entrée en application du RGPD le 25 mai 2018, il a été mis fin automatiquement à la fonction du chargé de la protection des données. Aucune démarche auprès de la CNPD n'est nécessaire à cet effet.
L’ancien chargé de la protection des données ne prend toutefois pas automatiquement la fonction de DPO. Les responsables du traitement et les sous-traitants doivent se conformer aux articles 37 à 39 du RGPD, et notamment communiquer les coordonnées du DPO à la CNPD.
11. Qu’est-ce qu’on entend par l’obligation de publier les coordonnées du DPO ?
Tout responsable du traitement ou sous-traitant doit communiquer aux personnes concernées les coordonnées de son DPO afin de leur permettre d’exercer leurs droits en matière de protection des données à caractère personnel. Cependant, il n’y a pas d’obligation de rendre publique l’identité du DPO.
Les coordonnées du DPO doivent contenir des informations permettant aux personnes concernées de joindre celui-ci facilement. Par exemple, une adresse e-mail spécifique au DPO peut être créée, permettant ainsi de s’assurer de la bonne réception des demandes des personnes concernées.
D’autres moyens de communication peuvent être envisagés, telle qu’une assistance téléphonique spécifique, ou un formulaire de contact spécifiquement adressé au DPO sur le site web de l’organisme.
En outre, les coordonnées doivent être facilement accessibles. Pour cela, plusieurs moyens peuvent être envisagés, telle qu’une adresse électronique de contact indiquée dans la politique de protection des données disponible sur le site internet de l’organisme, un rappel des coordonnées dans des newsletters, etc.
12. Qu’est-ce qu’on entend par l’obligation de communiquer les coordonnées du DPO à l’autorité de contrôle ?
Les coordonnées du DPO doivent être communiquées à la CNPD dès sa prise de fonction. En cas de changement de DPO, le responsable du traitement ou le sous-traitant doit également notifier la CNPD immédiatement.
Pour ce faire, la CNPD recommande d’utiliser le formulaire disponible sur son site internet sous le lien suivant : Formulaire ; et de le renvoyer signé à l’adresse suivante : declarationdpo@cnpd.lu.
L’identité du DPO doit nécessairement être indiquée dans le formulaire de désignation, le DPO étant le point de contact principal entre la CNPD et l’organisme concerné.
13. Qu’est-ce qu’on entend par « ressources nécessaires » au DPO pour exercer ses missions ?
Le RGPD précise que le responsable du traitement ou le sous-traitant aide le DPO à exercer ses missions en lui fournissant les ressources nécessaires pour exercer ses missions, mais ne donne pas d’indications claires sur le temps qui doit être alloué aux missions du DPO.
Dans le cas où l’organisme estimerait que moins de 1 équivalent temps plein (ETP) serait suffisant pour accomplir l’ensemble des missions du DPO, il est de bonne pratique de fixer un pourcentage de temps consacré à la fonction de DPO et de justifier le pourcentage choisi. Cette analyse est d’autant plus importante lorsque le DPO cumule une autre fonction au sein de l’organisme.
En outre, le DPO doit avoir accès facilement à d’autres services, tels que les ressources humaines, le service juridique, l’informatique, la sécurité, etc., de manière à pouvoir s’appuyer sur le soutien, les contributions et les informations essentiels de ces autres services.
Si le DPO dispose d’une équipe « protection des données », la structure interne de l’équipe ainsi que les tâches et responsabilités de chacun de ses membres doivent être clairement établies.
14. Qu’est-ce qu’on entend par la notion d’autonomie du DPO ?
Le DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses missions.
Si le responsable du traitement prend des décisions qui sont incompatibles avec le RGPD et l’avis du DPO, ce dernier devrait avoir la possibilité d’indiquer clairement un avis divergeant au niveau le plus élevé de la direction et aux décideurs.
15. Qu’est-ce qu’on entend par la notion d’association du DPO à toutes les questions relatives à la protection des données ?
Le DPO doit être associé au stade le plus précoce possible à toutes les questions relatives à la protection des données. Pour cela, le DPO doit nécessairement être informé et consulté dans le cadre de la mise en place de tout nouveau projet qui impliquerait des traitements de données à caractère personnel.
Pour ce faire, le DPO peut participer aux différents comités/groupes de travail afin de lui permettre d'être directement et pleinement informé (par exemple, participation aux Comités de Direction, Comités de coordination de projet, Comités de nouveaux produits, Comités sécurité ou tout autre comité jugé utile dans le cadre de la protection des données).
16. Qu’est-ce qu’on entend par les missions d’information et de conseil du DPO ?
Le DPO doit informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés sur leurs obligations en matière de protection des données.
Pour ce faire, le DPO peut par exemple mettre en place un reporting formel de ses activités vers le Comité de Direction ainsi qu’un dispositif de formation adéquat du personnel en matière de protection des données.
17. Qu’est-ce qu’on entend par les missions de contrôle du DPO ?
Le DPO doit contrôler le respect du RGPD. Pour y parvenir, il peut par exemple établir un plan de contrôle sur base d’une fréquence définie. Ce plan permet en effet de définir une stratégie de contrôle et de ne pas enfermer le DPO dans un rôle réactif.
18. Que faire en cas de démission du DPO ?
Pour les entités soumises à l’obligation de désigner un DPO, toute vacance de poste doit être comblée dans les meilleurs délais. Il est recommandé d’initier le processus de remplacement du DPO dès la prise de connaissance de son départ, notamment dès le début de son préavis.