La nomination d’un DPO : obligation ou opportunité ?

La nouvelle réglementation européenne sur les données personnelles (le « RGPD » en français, ou le « GDPR » en anglais) qui entrera en application le 25 mai 2018, oblige dans certains cas les organismes à désigner un Délégué à la protection des données également désigné sous l’acronyme de « DPO ».

Le non-respect de cette obligation peut entrainer l’application d’une sanction administrative pouvant aller jusqu’à 10 millions d’euros ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

La sanction administrative est tellement lourde que la question du recrutement d’un tel profil est analysée à la loupe par les plus hautes instances décisionnelles des organismes publics et privés. Tous les responsables de traitement et tous les sous-traitants de données personnelles se posent forcément la question de savoir s’ils ont ou non l’obligation de nommer un DPO.

Devez-vous nommer un DPO ?

L’article 37 du RGPD vise trois cas dans lesquels la désignation d’un DPO par un responsable de traitement ou par un sous-traitant est obligatoire. En les lisant rapidement, ces 3 cas peuvent paraitre simples. Mais les critères légaux utilisés n’étant pas tous définis, cela rend l’analyse complexe.
                              
A l’aune de l’entrée en vigueur du RGPD, nombre d’organismes se posent encore la question de savoir s’ils doivent oui ou non, nommer un DPO.

Nous allons vous éclairer sur l’interprétation des critères légaux utilisés dans le règlement, en y associant les conseils formulés dans les lignes directrices du G29[1].

1. Êtes-vous une autorité publique ou un organisme public qui traite des données personnelles ? 

Les notions d’« autorité publique » ou d’ « organisme public » n’étant pas définies, le G29 précise que ces termes sont à interpréter au regard du droit national. L’obligation de nommer un DPO vise donc toute autorité nationale, régionale (ex : Les conseils régionaux et départementaux) ou locale (ex : les 35 000 communes françaises).

La seule certitude, est que les juridictions « agissant dans l’exercice de leur fonction juridictionnelle » ne sont pas concernées par cette obligation. Mais il est intéressant de noter que pour autant, ces organismes ne sont pas dispensés de se mettre en conformité avec le RGPD.

Le G29 conseille par ailleurs aux organismes privés exerçant des missions publiques ou exerçant une autorité publique de désigner un DPO.

2. Vos activités de base consistent-elles en des traitements qui exigent, du fait de leur nature, de leur portée et/ou de leur finalité, un suivi régulier et systématique à grande échelle des personnes concernées ?

Les conditions sont nombreuses et cumulatives. Pour savoir si vous remplissez tous les critères de désignation d’un DPO, et par voie de conséquence, si l’obligation s’impose à vous, il est essentiel de comprendre chacun de ces critères et de vous les appliquer :

  • « activités de base » : le G29 précise qu’il s’agit des principales activités nécessaires pour atteindre les objectifs du responsable de traitement ou du sous-traitant. Cela signifie par exemple que les traitements de données nécessaires à l’activité d’un opérateur de communications électroniques (listings d’appels) dont l’objectif est de fournir un service de téléphonie, constituent des activités de base, mais que les traitements de données effectués par les directions informatique ou des ressources humaines de cet opérateur sont accessoires à son activité.
  • « suivi » : ce critère intègre toutes les formes de suivi et de profilage (sur internet ou non), y compris aux fins de publicité comportementale.
  • « régulier » : le G29 précise qu’il s’agit d’un élément en cours ou se produisant à des intervalles particuliers pour une période particulière, d’un élément récurrent ou répété à des moments fixes, ou constant, ou d’un élément se déroulant périodiquement.
  • « systématique »: le G29 précise qu’il s’agit d’un élément pré-organisé, organisé, ou méthodique, réalisé dans le cadre d’une stratégie, se produisant selon un système, ou adopté dans le cadre d’un plan général de collecte de données.
  • « grande échelle » : sans pouvoir encore fixer des critères applicables à tous les cas, le considérant 91 dur RGPD et les lignes directrices du G29 formulent des recommandations pour déterminer si ce critère est rempli. Il faut ainsi considérer le nombre de personnes concernées, le volume de données, la durée et l’étendue géographique du traitement.

3. Vos activités de base consistent-elles en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales ou à des infractions ?

Dans ce cas, les conditions d’« activité de base » et de « grande échelle » sont à associer à trois catégories de données personnelles. La compréhension de ces critères est plus aisée car chacun des termes est légalement défini dans le RGPD.

Les « catégories particulières de données » sont visées à l’article 9 du RGPD et comprennent les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les préférences et l’orientation sexuelles, l’état de santé et, nouveauté du RGPD, les données génétiques et biométriques.

Les données relatives aux condamnations et aux infractions bénéficient également d’une protection spécifique. Les notions de « condamnations pénales » et d’infractions sont précisées à l’article 10 du RGPD et sont juridiquement connues.

L’analyse de chacun des critères légaux ne sera pas aisée. Elle devra se faire in concreto, au vu de l’activité réelle de l’organisme. Et surtout, l’analyse devra être étayée et pertinente puisqu’elle sera en visibilité de la plus haute direction.

En tout état de cause, si après analyse, vous décidiez de ne pas désigner de DPO, nous vous conseillons vivement de conserver la trace écrite de cette réflexion afin de pourvoir en faire état à l’autorité de contrôle si nécessaire, et de mettre à jour cette étude régulièrement en fonction de l’évolution de l’activité de l’organisme. En effet, si la décision de ne pas désigner un DPO a par exemple été prise compte tenu de l’absence de traitements à grande échelle à un instant T, il faudra penser à analyser la portée de chaque nouveau traitement afin de confirmer ou non le maintien de cette décision.

Pourriez-vous nommer volontairement un DPO ?

Après avoir élucidé la question de l’obligation ou non de nommer un DPO, reste à trouver la perle rare, véritable expert indépendant de la gestion des données personnelles, agissant en véritable chef d’orchestre de la conformité.

Les cas les plus simples sont ceux dont l’analyse menée par la direction a permis d’établir qu’ils étaient concernés par l’obligation de désigner un DPO. Ils n’ont plus qu’à traiter la question du choix du candidat : interne ou externe ? le choix s’articulera entre le besoin de conserver ce rôle en interne, ou celui de recourir à l’aide d’un DPO Externalisé, gage d’indépendance et d’expertise.

Un DPO externe bien choisi dispose en effet des compétences nécessaires à la mission : juridiques, informatiques, gestion de projet et conformité. Le contrat passé annuellement contiendra des missions récurrentes (information sur les nouveaux projets, tenue du registre, point de contact avec la CNIL, …) et des missions complémentaires liées à l’actualité de votre organisme. Il en est ainsi par exemple de la réalisation de PIA ou les contrôles de la CNIL.

La situation est plus complexe lorsqu’il n’est pas juridiquement évident que la nomination s’impose. Certains dirigeants sont soulagés de constater qu’ils échappent à l’obligation de nommer un DPO, et qu’ils n’ont pas à recruter une personne de plus.

Ce sont alors les équipes opérationnelles les plus érudites et qui ont conscience de la nécessité de se mettre en conformité au RGPD et de faire évoluer la culture d’entreprise qui s’inquiètent. Etant déjà monopolisées par leurs tâches quotidiennes, ces équipes se demandent alors qui va être en mesure de mener l’adit de conformité au RGPD ? Qui va centraliser les actions de mise en conformité ? Qui va réaliser l’analyse de risque ? Le programme de conformité, le registre des traitements ? Et surtout, qui va assurer sur le long terme la conformité de l’organisme à la législation applicable en la matière ?

N’oublions pas que les sanctions tant redoutées ne s’appliquent pas seulement lorsque le DPO n’a pas été désigné, mais qu’elles s’appliquent aussi et surtout en cas de non-respect des droits des personnes, de transfert à un pays tiers non conforme à la législation, des mentions d’information, des mesures de sécurité, … Les directions juridiques et informatiques sont conscientes que le risque de se voir infliger une sanction est d’autant plus grand qu’il n’y a pas de pilote de la conformité dans l’avion.

Car en effet, si aucun DPO n’est nommé, il faudra tout de même trouver quelqu’un de compétent, formé et disponible pour assurer la tenue des registres, la rédaction et la mise en place de toutes les procédures obligatoires en application du principe d’accountability, d’assurer un suivi régulier de la conformité.

Lorsqu’une telle prise de conscience des enjeux apparaît, il est parfois décidé de nommer un simple chef de projet informatique et libertés. Mais cette solution ne nous semble pas être la meilleure, puisqu’il est nécessaire de mettre en place une structure pérenne de gestion des données personnelles afin de répondre aux exigences du RGPD.

La nomination volontaire d’un DPO peut alors être envisagée, tout en ayant à l’esprit que le G29 précise bien que le DPO volontaire aura les mêmes obligations que le DPO obligatoire.

La nomination volontaire d’un DPO, peut-être une réelle opportunité pour l’organisme puisqu’il s’agit de nommer une personne compétente et à jour de ses connaissances en matière de données personnelles. En effet un DPO est avant tout formé à la data privacy, à la gestion de projet et à la sécurité informatique. Il en découle forcément une montée en compétences de toutes vos équipes.

La formation du DPO, qui a pour mission de former les autres collaborateurs, est donc l’élément clé de votre réussite, le premier élément du cercle vertueux de la conformité au sein de votre établissement : plus vous formez vos collaborateurs aux règles de bonne gestion des données personnelles, plus votre activité commerciale sera sécurisée, et moins vous aurez à faire appel à votre DPO.

Une fois nommée, ce chef d’orchestre devra constituer son orchestre, en s’entourant de relais informatique et libertés, qu’il nommera dans chacune des directions de l’organisme afin d’être en mesure de diffuser les informations nécessaires à tout l’organisme, mais également d’être informé des nouveaux traitements et projets.

En conclusion, le DPO obligatoire ou volontaire animera la mise en conformité, et surtout, la maintiendra dans le temps. Afin d’éviter d’avoir à penser à motiver la décision de ne pas nommer un DPO au moment de la mise en place de chaque nouveau traitement litigieux, nous vous conseillons vivement d’étudier la possibilité d’en nommer un volontairement. Vous gagnerez en efficacité et en conformité, et ainsi donc, disposerez d’un avantage concurrentiel certain.

 


 

[1] Guidelines on Data Protection Officers (‘DPOs’) Adopted on 13 December 2016 As last Revised and Adopted on 5 April 2017 (16/EN WP 243 rev.01)

Retour