Le délégué à la protection des données ("Data Protection Officer" ou "DPO" en anglais) occupe une place importante au sein du cadre juridique créé par le règlement général sur la protection des données (RGPD).
Les articles 37 à 39 du RGPD posent les règles applicables à la désignation, à la fonction et aux missions du DPO.
Par ailleurs, l’ancien groupe de travail « Article 29 » avait adopté le 5 avril 2017 des lignes directrices concernant les DPO. Ces lignes directrices, approuvées par le Comité européen de la protection des données ("European Data Protection Board" ou "EDPB" en anglais), contiennent des recommandations à destination des responsables de traitement et des sous-traitants ainsi que des DPO auxquelles la CNPD se rallie.
1. Quand la désignation d’un DPO est-elle obligatoire ?
La désignation d’un DPO est obligatoire dans trois hypothèses :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
A moins qu’il soit évident qu’un organisme n’est pas tenu de désigner un DPO, il est recommandé de documenter l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPO.
2. Qu’est-ce qu’on entend par « activités de base » ?
Les activités de base ont trait aux activités principales du responsable du traitement ou du sous-traitant et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire. Les «activités de base» peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
Exemple : Les activités de base d’une banque impliquent des traitements de données financières de ses clients. La banque doit aussi traiter des données RH de ses employés, mais c’est une activité accessoire.
3. Qu’est-ce qu’on entend par « grande échelle » ?
La notion de « grande échelle » n’est pas définie dans le RGPD. Il est recommandé de prendre en considération, en particulier, les facteurs suivants :
- le nombre de personnes concernées (valeur absolue ou valeur relative par rapport à la population concernée) ;
- le volume et/ou le spectre des données traitées ;
- la durée ou permanence des traitements de données ;
- l’étendue géographique des traitements de données.
Exemple de traitement à grande échelle : Le traitement de données de patients par un hôpital (contrairement au traitement de données de patients effectués par un médecin exerçant à titre individuel).
4. Qu’est-ce qu’on entend par « suivi régulier et systématique » ?
Le RGPD ne définit pas cette notion, mais elle inclut clairement toutes les formes de suivi et de profilage sur Internet, y compris à des fins de publicité comportementale. La notion de suivi ne se limite toutefois pas à l’environnement en ligne.
Le suivi est régulier lorsqu’il y a une certaine répétition, périodicité, constance ou permanence.
Le suivi est systématique lorsqu’il est méthodiquement organisé, préétabli ou fait partie d’une stratégie.
Exemple : Une banque qui doit régulièrement et systématiquement suivre l’évolution des comptes et des transactions de ses clients notamment dans le cadre de ses obligations liées à la prévention de la fraude, du blanchiment d’argent ou du financement du terrorisme.
5. Peut-on désigner un DPO sur une base volontaire ?
Oui, un organisme peut désigner un DPO sur une base volontaire. Dans ce cas, les exigences légales (articles 37 à 39 du RGPD) s’appliquent à sa désignation, sa fonction et à ses missions comme si sa désignation avait été obligatoire. Il n’y a donc aucune différence de statut entre un DPO désigné de manière obligatoire ou volontaire.
6. Qui peut être désigné en tant que DPO ?
Le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant (DPO interne), ou exercer ses missions sur la base d’un contrat de service (DPO externe).
Le DPO doit avoir les qualités professionnelles requises, exercer ses fonctions en toute indépendance et ne pas exercer d’autres missions et tâches qui entraîneraient un conflit d’intérêts.
7. Quelles sont les qualités professionnelles requises ?
Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.
Le RGPD ne précise pas le niveau de connaissance requis mais il doit être en rapport avec la sensibilité, la complexité et le volume de données traitées par le responsable du traitement ou le sous-traitant.
Les compétences et l’expertise nécessaires doivent notamment inclure :
- expertise relative aux législations nationale et européenne en matière de protection des données, y compris une connaissance approfondie du RGPD ;
- compréhension des opérations de traitement effectuées par le responsable du traitement ou le sous-traitant ;
- compréhension des technologies de l’information et de la sécurité des données ;
- connaissance du secteur d’activité et de l’organisme ;
- capacité à promouvoir une culture de la protection des données au sein de l’organisme.
8. Qu’est-ce qu’on entend par « conflit d’intérêts » ?
Le DPO peut exercer d’autres missions et tâches, à condition qu’elles n’entraînent pas de conflit d’intérêts. Le DPO ne peut pas exercer au sein de l’organisme une fonction qui l’amènerait à déterminer les moyens (comment ?) et les finalités (pourquoi ?) du traitement de données. Cet aspect doit être étudié au cas par cas.
Exemples de fonctions qui peuvent être considérées comme incompatibles avec la fonction de DPO : Toutes les fonctions dirigeantes telles que directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. Peut également donner lieu à un conflit d’intérêts l’activité de sous-traitant et de DPO (externe) pour un même responsable du traitement.
9. Est-ce que le DPO doit être agréé par la CNPD ?
Non, la CNPD ne délivre pas d’agrément aux DPO. Le responsable du traitement ou le sous-traitant doivent simplement communiquer les coordonnées du DPO à la CNPD.
La CNPD peut toutefois contrôler si les articles 37 à 39 du RGPD règlementant la désignation, la fonction et les missions du DPO sont respectés.
10. Que devient le chargé de la protection des données ?
La loi abrogée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel permettait au responsable du traitement de désigner, sur une base volontaire, un « chargé de la protection des données ». Le DPO est le successeur naturel du chargé de la protection des données, mais il existe des différences au niveau de la désignation, de la fonction et des missions.
Avec l’entrée en application du RGPD le 25 mai 2018, il a été mis fin automatiquement à la fonction du chargé de la protection des données. Aucune démarche auprès de la CNPD n'est nécessaire à cet effet.
L’ancien chargé de la protection des données ne prend toutefois pas automatiquement la fonction de DPO. Les responsables du traitement et les sous-traitants doivent se conformer aux articles 37 à 39 du RGPD, et notamment communiquer les coordonnées du DPO à la CNPD.