DPO Obligatoire ? La nomination d’un DPO : obligation ou opportunité ?

La nouvelle réglementation européenne sur la protection des données personnelles (le « RGPD » en français, ou le « GDPR » en anglais) qui mise en oeuvre le 25 mai 2018, impact et oblige dans certains cas les organismes à désigner un Délégué à la protection des données en interne ou externe, également désigné sous l’acronyme de « DPO » dans l’entreprise.

Le non-respect de cette obligation peut entrainer l’application d’une sanction administrative pouvant aller jusqu’à 10 millions d’euros ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

La sanction administrative est tellement lourde que la question du recrutement d’un tel profil est analysée à la loupe par les plus hautes instances décisionnelles des organismes publics et privés. Tous les responsables de traitement data en interne et tous les sous-traitants de données personnelles se posent forcément la question de savoir s’ils ont ou non l’obligation de nommer une personne comme délégué, un DPO dans l’entreprise ou l’organisme public qui sera un contrôle, afin d’être raccord avec le CNIL notamment.

1. Devez-vous nommer un DPO ?

L’article 37 du règlement RGPD vise trois cas dans lesquels la désignation d’un DPO avec certification par un responsable de traitement data ou par un sous-traitant à un impact obligatoire. En les lisant rapidement, ces 3 cas peuvent paraitre simples. Mais les critères légaux utilisés n’étant pas tous définis, cela rend l’analyse complexe.
                              
A l’aune de l’entrée en vigueur du RGPD, nombre d’organismes publics et d’entreprises ont le droit de se poser la question de savoir s’ils doivent oui ou non, nommer un DPO.

Nous allons vous éclairer sur l’interprétation des critères légaux utilisés dans le règlement, en y associant les conseils formulés dans les lignes directrices du G29[1].

1° Êtes-vous une autorité publique ou un organisme public qui traite des données personnelles ? 

Les notions d’ « autorité publique » ou d’ « organisme public » n’étant pas définies, le G29 précise que ces termes sont à interpréter au regard du droit national. L’obligation de nommer un délégué DPO en interne ou externe vise donc toute autorité nationale, régionale (ex : Les conseils régionaux et départementaux) ou locale (ex : les 35 000 communes françaises).

La seule certitude, est que les juridictions « agissant dans l’exercice de leur fonction juridictionnelle » ne sont pas concernées par cette obligation. Mais il est intéressant de noter que pour autant, ce droit pour ces organismes publics ne dispense pas de se mettre en conformité avec le cadre du RGPD.

Le G29 conseille par ailleurs aux organismes privés exerçant des missions publiques ou exerçant une autorité publique de désigner un délégué, qui sera le DPO.

2° Vos activités de base consistent-elles en des traitements qui exigent, du fait de leur nature, de leur portée et/ou de leur finalité, un suivi régulier et systématique à grande échelle des personnes concernées ?

Les conditions sont nombreuses et cumulatives. Pour savoir si vous remplissez tous les critères de désignation d’un DPO dans l’entreprise, et par voie de conséquence, si l’obligation s’impose à vous, il est essentiel de comprendre chacun de ces critères de contrôle et de vous les appliquer :

• « activités de base » : le G29 précise qu’il s’agit des principales activités nécessaires pour atteindre les objectifs du responsable de traitement ou du sous-traitant. Cela signifie par exemple que les traitements de données nécessaires à l’activité d’un opérateur de communications électroniques (listings d’appels) dont l’objectif est de fournir un service de téléphonie, constituent des activités de base, mais que les traitements de données effectués par les directions informatique ou des ressources humaines de cet opérateur sont accessoires à son activité.
• « suivi » : ce critère intègre toutes les formes de suivi et de profilage (sur internet ou non), y compris aux fins de publicité comportementale.
• « régulier » : le G29 précise qu’il s’agit d’un élément en cours ou se produisant à des intervalles particuliers pour une période particulière, d’un élément récurrent ou répété à des moments fixes, ou constant, ou d’un élément se déroulant périodiquement.
• « systématique »: le G29 précise qu’il s’agit d’un élément pré-organisé, organisé, ou méthodique, réalisé dans le cadre d’une stratégie, se produisant selon un système, ou adopté dans le cadre d’un plan général de collecte de données.
• « grande échelle » : sans pouvoir encore fixer des critères applicables à tous les cas, le considérant 91 du RGPD et les lignes directrices du G29 formulent des recommandations pour déterminer si ce critère est rempli. Il faut ainsi considérer le nombre de personnes concernées, le volume de données, la durée et l’étendue géographique du traitement.

3° Vos activités de base consistent-elles en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales ou à des infractions ?

Dans ce cas, les conditions d’« activité de base » et de « grande échelle » sont à associer à trois catégories de données personnelles. La compréhension de ces critères de contrôle est plus aisée car chacun des termes est légalement défini dans le règlement RGPD pour les entreprises ou organisations. Voici un ébauche des articles.

Les « catégories particulières de données » sont visées à l’article 9 du RGPD et comprennent les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les préférences et l’orientation sexuelles, l’état de santé et, nouveauté du RGPD, les données génétiques et biométriques.

Les données relatives aux condamnations et aux infractions bénéficient également d’une protection spécifique. Les notions de « condamnations pénales » et d’infractions sont précisées à l’article 10 du règlement RGPD et sont juridiquement connues.

L’analyse de chacun des critères de contrôle légaux ne sera pas aisée. Elle devra se faire in concreto, au vu de l’activité réelle de l’organisme ou de l’entreprise. Et surtout, l’analyse data devra être étayée et pertinente puisqu’elle sera en visibilité de la plus haute direction.

En tout état de cause, si après analyse, vous décidiez de ne pas désigner de DPO interne ou externe avec certification, nous vous conseillons vivement de conserver la trace écrite de cette réflexion afin de pourvoir en faire état à l’autorité de contrôle si nécessaire, et de mettre à jour cette étude régulièrement en fonction de l’évolution de l’activité de l’organisme et de ses compétences. En effet, si la décision de ne pas désigner de délégué DPO a par exemple été prise compte tenu de l’absence de traitements à grande échelle à un instant T, il faudra penser à analyser la portée de chaque nouveau traitement afin de confirmer ou non le maintien de cette décision.

A lire : Les 10 questions les plus fréquemment posées sur la fonction de DPO

4° Pourriez-vous nommer volontairement un DPO ?

Après avoir élucidé la question de l’obligation ou non de nommer un DPO, reste à trouver la perle rare, véritable expert indépendant de la fonction, et évidemment de la gestion des données personnelles, agissant en véritable chef d’orchestre de la conformité et de la protection. Une personne responsable, avec certification, qui sera compétente dans votre organisme public.

Les cas les plus simples sont ceux dont l’analyse menée par la direction a permis d’établir qu’ils étaient concernés par l’obligation de désignation d’un DPO. Ils n’ont plus qu’à traiter la question du choix du candidat : interne ou externe ? le choix s’articulera entre le besoin de conserver ce rôle en interne, ou celui de recourir à l’aide d’un DPO Externalisé, gage d’indépendance et d’expertise. Un parfait interlocuteur pour la CNIL

Un DPO externe bien choisi à eu la formation, et dispose en effet des compétences nécessaires à la mission : juridiques, informatiques, gestion de projet et conformité. Le contrat passé annuellement contiendra des missions récurrentes (information sur les nouveaux projets, tenue du registre, point de contact avec la CNIL, …) et des missions complémentaires liées à l’actualité de votre organisme ou entreprise. Il en est ainsi par exemple pour son droit à la réalisation de PIA ou les contrôles de la CNIL.

La situation est plus complexe lorsqu’il n’est pas juridiquement évident que la nomination s’impose. Certains dirigeants sont soulagés de constater qu’ils échappent à l’obligation de nommer un DPO, et qu’ils n’ont pas à recruter une personne de plus.

Ce sont alors les équipes opérationnelles les plus érudites et qui ont conscience de la nécessité de se mettre en conformité au RGPD et de faire évoluer la protection dans la culture d’entreprise, qui s’inquiètent. Etant déjà monopolisées par leurs tâches quotidiennes, ces équipes se demandent alors qui va être en mesure de mener l’audit, le contrôle de conformité au RGPD ? Qui va centraliser les actions de mise en conformité ? Qui va réaliser l’analyse de risque ? Le programme de conformité, le registre des traitements ? Et surtout, qui va assurer sur le long terme la conformité de l’organisme à la législation applicable en la matière ? Que se soit dans les entreprises ou les organisations.

N’oublions pas que les sanctions tant redoutées ne s’appliquent pas seulement lorsque le DPO n’a pas été désigné, mais qu’elles s’appliquent aussi et surtout en cas de non-respect du droit des personnes, de transfert à un pays tiers non conforme à la législation, des mentions d’information, des mesures de sécurité, de protection … Les directions juridiques et informatiques sont conscientes que le risque de se voir infliger une sanction est d’autant plus grand qu’il n’y a pas de pilote de la conformité dans l’avion.

Car en effet, si aucun délégué DPO n’est nommé, il faudra tout de même trouver quelqu’un de compétent, avec certification, formé et disponible pour assurer la tenue des registres, la rédaction et la mise en place de toutes les procédures obligatoires en application du principe d’accountability, d’assurer un suivi régulier de la conformité.

Lorsqu’une telle prise de conscience des enjeux apparaît, il est parfois décidé de nommer un simple chef de projet informatique et libertés. Mais cette solution ne nous semble pas être la meilleure, puisqu’il est nécessaire de mettre en place une structure pérenne de gestion des données personnelles afin de répondre aux exigences du RGPD.

La nomination volontaire d’un DPO peut alors être mise en oeuvre, tout en ayant à l’esprit que le G29 précise bien que le DPO volontaire aura les mêmes obligations que le DPO obligatoire. L’impact est similaire.

La nomination volontaire d’un DPO, peut-être une réelle opportunité pour l’organisme puisqu’il s’agit de nommer une personne compétente et à jour de ses connaissances en matière de données personnelles. En effet un DPO à eu une formation et une certification à la data privacy, à la gestion de projet et à la sécurité informatique. Il en découle forcément une montée en compétences de toutes vos équipes.

La formation obligatoire du DPO, qui a pour mission de former les autres collaborateurs, est donc l’élément clé de votre réussite, le premier élément du cercle vertueux de la conformité au sein de votre établissement : plus vous formez vos collaborateurs aux règles de bonne gestion des données personnelles, plus votre activité commerciale sera sécurisée, et moins vous aurez à faire appel à votre DPO.

Une fois nommée, ce chef d’orchestre devra constituer son orchestre, en s’entourant de relais informatique et libertés, qu’il nommera dans chacune des directions de l’organisme afin d’être en mesure de diffuser les informations nécessaires à tout l’organisme, mais également d’être informé des nouveaux traitements et projets.

En conclusion, le délégué DPO obligatoire ou volontaire à un vrai impact dans la mise en oeuvre, il animera la mise en conformité, et surtout, la maintiendra dans le temps. Afin d’éviter d’avoir à penser à motiver la décision de ne pas nommer un DPO au moment de la mise en place de chaque nouveau traitement litigieux, nous vous conseillons vivement d’étudier la possibilité d’en nommer un volontairement. Vous gagnerez en efficacité et en conformité, et ainsi donc, disposerez d’un avantage concurrentiel certain.