Auteur : Me Caroline Sandler-Rosental – Avocat et DPO – RSC Avocat
Bien que cet acronyme du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) soit très couramment utilisé, rare sont ceux qui savent ce que fait précisément un « Data Protection Officer » ou Délégué à la Protection des Données (RDPD).
Or, il y a de fortes chances que votre société soit soumise au RGPD. C’est le cas si elle est établie sur le territoire de l’Union Européenne et qu’elle procède à des traitements de données personnelles (collecte de noms, d’adresses IP, de photos…) ou si elle est établie hors de l’Union mais qu’elle procède au traitement de données de personnes qui se trouvent sur le territoire de l’Union. Et donc, l’obligation de désigner un « DPO » prévue par le RGPD dans certains cas (Section 4, articles 37 à 39) vous concerne aussi.
Il en est de même du risque de sanctions pour l’entreprise et ses représentants légaux en cas de non-respect de cette obligation de désignation d’un DPO. Une des sanctions encourues est, en effet, l’amende administrative qui peut atteindre jusqu’à 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (art.83.4 du RGPD).
De manière synthétique, le DPO est une personne désignée par les organismes publics et privés, afin d’assurer leur mise en conformité et le suivi du RGPD. Il est le chef d’orchestre, le garant de la conformité des traitements de données personnelles au RGPD. Il a pour mission de veiller à ce que les données personnelles soient collectées, utilisées, stockées et transférées de manière appropriée et conforme à la réglementation sur la protection des données personnelles. En d’autres mots encore, il est le « maillon essentiel de la gouvernance de la donnée » (CNIL).
En revanche, seul le responsable de traitement est juridiquement responsable de la conformité de l’entreprise au RGPD, sans délégation possible de cette responsabilité au DPO. C’est pourquoi le DPO doit être en mesure de faire des rapports au niveau le plus haut de la hiérarchie, indépendamment de la direction à laquelle il est rattaché (DSI, Direction Juridique, Secrétariat Général, Direction de la conformité…) et doit être choisi avec attention.
Cet article consiste à vous présenter cet acteur incontournable du dispositif de conformité mis en place par le RGPD et qui remplace l’ancien CIL (Correspondant Informatique et Libertés) prévu par la loi Informatique et Libertés n° 78-17 du 6 janvier 1978. Il sera suivi de deux articles complémentaires à venir, de ma part, sur le DPO.
Nous aborderons ici les 3 questions suivantes : comment savoir si la désignation du DPO est obligatoire dans votre entreprise ? Quelles sont les missions du DPO ? Peut-il être externe à l’entreprise et/ou mutualisé ?
I. Comment savoir si la désignation d’un DPO est obligatoire dans votre entreprise ?
La désignation d’un DPO est obligatoire dans certains cas spécifiques, définis par le RGPD.
Votre entreprise compte moins de 250 employés, alors la désignation d’un DPO n’est pas obligatoire en vertu de la dérogation prévue à l’article 30 paragraphe 5 du RGPD, à moins que :
Le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, ou bien si ;
Le traitement de données personnelles n’est pas occasionnel ou bien ;
Si le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1 du RGPD, à savoir notamment sur des données de santé, génétiques ou biométriques ou concernant la vie sexuelle des personnes ou sur des données relatives à des condamnations pénales et des infractions visées à l’article 10 du RGPD.
Votre entreprise compte plus de 250 employés, la désignation d’un DPO est obligatoire en vertu de l’article 37 du RGPD en cas de :
Traitement qui exige un suivi régulier et systématique à grande échelle des personnes concernées ;
Traitement à grande échelle de données personnelles visées à l’article 9.1 susvisé du RGPD (données dites « sensibles »).
Et quand la désignation d’un DPO n’est pas obligatoire ?
Il peut être quand même recommandé de désigner un DPO afin de renforcer les chances de se conformer au RGPD, et in fine de protéger son entreprise, ses salariés, clients et prospects et de renforcer le capital de confiance de l’entreprise auprès de ses clients et de la CNIL en cas de contrôle.
Il est aussi toujours possible de désigner uniquement un « responsable RGPD », non désigné comme DPO auprès de la CNIL.
Il est intéressant de souligner qu’au Canada, tous les organismes publics et privés, quelle que soit leur taille, ont, depuis la Loi 25 du 21 septembre 2021 entrée en vigueur le 22 septembre 2022 [1], l’obligation de nommer un « responsable de la protection des renseignements personnels (PRP) » en la personne qui détient la plus haute autorité dans l’entreprise, à moins que celle-ci ne délègue par écrit ses fonctions, en tout ou en partie, à toute autre personne.
Cette désignation est aussi obligatoire en Europe, d’après le RGPD, en ce qui concerne toutes les collectivités territoriales, quelle que soit leur taille. C’est notamment ce qu’a rappelé la CNIL dans une mise en demeure du 31 mai 2022 adressée à 22 communes contrôlées et sommées de désigner un DPO sous 4 mois sous peine de sanctions (Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2022-001 du 5 mai 2022 décidant de rendre publique 22 mises en demeure prises à l’encontre de communes).
2. Quelles sont les missions du DPO ?
Le DPO joue un rôle central et essentiel dans la conformité des traitements de données personnelles au RGPD. C’est le DPO qui assurera notamment les tâches suivantes en vertu de l’article 39 du RGDP :
Informer votre entreprise sur ses obligations RGPD tant en tant que responsable de traitements que sous-traitant RGPD ;
Contrôler le respect de la réglementation applicable en matière de protection des données personnelles « y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant » ;
Dispenser des conseils sur les analyses d’impact ;
Coopérer et agir comme point de contact entre l’entreprise et l’autorité de contrôle nationale (en France la CNIL) ;
Tenir compte du risque associé aux traitements de données personnelles.
Il s’assurera que les traitements mis en œuvre par l’entreprise sont faits dans le respect des conditions :
Juridiques : tenue des registres des traitements, exécution des études d’impact, existence de mentions d’information, clauses contractuelles avec les sous-traitants, conditions de transferts des données…
Techniques et organisationnelles afin d’assurer la sécurité des données contre les risques d’atteinte à leur authenticité, confidentialité, disponibilité, intégrité : mesures de sécurité des systèmes prises proportionnellement aux risques (outils et solutions applicatives…) et définition de process et de documentation de sécurité (PCA, PRA…). Pour ce faire, il établira un plan d’action à l’issue d’un audit de situation et de l’évaluation des divers risques.
3. Le DPO peut-il être externe à l’entreprise et/ou mutualisé ?
En 2021, le nombre de DPO en France était de 28 810 selon le Ministère du travail, sachant que ce chiffre est en constante augmentation depuis l’entrée en vigueur du RGPD. Il faut préciser que les organismes peuvent mutualiser leur DPO.
Un seul DPO peut ainsi par exemple travailler pour toutes les filiales d’un groupe de sociétés.
Son volume de travail sera adapté aux circonstances (type d’activité, volume et type de données traitées…). Le DPO ne travaillera pas forcément à plein temps dans votre entreprise ou sur des tâches de DPO.
D’après une enquête menée par l’Afpa pour le compte du Ministère du travail, de l’Emploi et de l’Insertion, auprès de 1 811 DPO internes et réactualisée en 2022, 70% des DPO interrogés consacrent 25% et moins de leur temps de travail à cette fonction, en général dans les structures les plus petites ou traitant un volume de données personnelles moindre [2].
En résumé :
Le DPO interne peut être salarié d’un seul responsable de traitement ;
Le DPO interne peut être un salarié mutualisé pour plusieurs responsables de traitement ;
Le DPO externe peut être un indépendant ou un salarié d’un organisme tiers (cabinet d’avocats, de conseils…).
S’il est DPO externe, sa responsabilité civile professionnelle peut être engagée par l’entreprise en cas de faute de sa part. S’il est DPO interne, le DPO ne pourra être sanctionné qu’en qualité de salarié.
L’intérêt d’avoir un DPO externalisé peut être de bénéficier des services d’un professionnel spécialisé, expert en matière de RGPD, neutre et indépendante au sein de l’entreprise. Un des problèmes fréquents rencontrés dans les entreprises est, en effet, le manque de formation des DPO. D’après un sondage de l’AFPA [3], 44% des DPO en poste déclarent avoir besoin d’une formation complète de DPO…
L’intérêt particulier d’avoir pour DPO un avocat spécialisé en IT, est que l’avocat IT maîtrise à la fois les aspects techniques et les aspects légaux et juridiques. Par exemple, en cas de violation de données personnelles constituée par la copie non autorisée de données personnelles d’un client par un sous-traitant ultérieur d’un prestataire ESN, l’avocat DPO saura à la fois gérer efficacement les aspects RGPD (notification à la CNIL et aux personnes concernées le cas échéant, registre des violations de données…) et les aspects juridico-contractuels dérivés (gestion de la résiliation des contrats conclus avec des sous-traitants défaillants…).
Il est en outre, soumis au strict secret professionnel du fait des obligations déontologiques de l’avocat, gage majeur de confidentialité. La formule de la prestation de services peut aussi s’avérer économique selon la proposition adressée à l’entreprise.
Dans un second article à venir, nous aborderons plus avant la question du choix du DPO en raison des possibles conflits d’intérêt et des qualités requises, du coût d’un DPO et des formalités à accomplir. Puis dans un troisième article, nous évoquerons et présenterons un possible plan d’action du DPO.