Le Règlement Général sur la Protection des Données (« RGPD »), d’application obligatoire depuis le 25 mai dernier a créé un nouvel acteur dans l’univers des données personnelles*, le Délégué à la Protection des Données – ou Data Protection Officer en anglais – (« DPO »). Ce dernier est présenté comme un acteur clef du processus de mise en conformité des entreprises au RGPD, et comme un poste d’avenir. Il remplace l’ancien « correspondant informatique et liberté » (ou CIL) institué par la Loi Informatique et Libertés[1].

A l’heure du premier bilan sur les conséquences de l’entrée en vigueur du RGPD,et alors que la CNIL annonce compter désormais 15 000 DPO pour 32 000 organismes[2],nous vous proposons de revenir sur la nomination et le rôle de cet acteur clef dans l’univers de la protection des données.

La nomination d’un DPO

Quand désigner un DPO ?

Bien que la désignation d’un DPO soit imposée par le RGPD à certains responsables du traitement* et certains sous-traitants*, il ne liste pas les catégories pour lesquelles cette désignation s’impose. Le RGPD se contente d’énoncer que le responsable du traitement ou le sous-traitant est tenu de désigner un DPO lorsque[3] : 

  • Il est une autorité ou un organisme public (ou, par extension, lorsque il est un organisme privé en charge d’une mission de service public, selon les recommandations du G29*),
  • Son activité de base consiste à opérer un suivi régulier et systématique des personnes à grande échelle,
  • Son activité de base consiste à traiter des données « sensibles » (données liées à la santé, ethnie, religion, appartenance politique ou syndicale etc.) à grande échelle.

Les deux derniers cas dans lesquels la désignation d’un DPO est obligatoire s’apprécient in concreto, selon l’activité de l’entreprise considérée ;cette dernière devra analyser point par point si les traitements qu’elle met en œuvre entrent dans ces catégories, et lui imposent de désigner un DPO. Et quand bien même l’activité de l’entreprise considérée ne correspondrait pas à un de ces cas, il est à noter que le G29 encourage les désignations de DPO sur la base du volontariat[4].

Qui désigner comme DPO ?

Après avoir pris la décision de nommer un DPO, il est important de savoir qui nommer.En effet, selon le RGPD, le DPO ne doit pas :

  •    Exécuter des tâches et missions entraînant un conflit d’intérêts avec sa fonction de DPO[5],c’est-à-dire qu’il ne doit pas participer à la détermination des finalités et des moyens des traitements mis en œuvre au sein de l’organisme (le DPO ne peut, par conséquent, être en charge du marketing ou de la gestion des ressources humaines)[6] ;
  • Démontrer des qualités professionnelles appropriées, telles que des connaissances en droit ainsi qu’en matière de pratiques de protection des données personnelles[7] ; 
  • Etre capable d’accomplir les missions qui lui sont confiées par la réglementation[8],son niveau d’expertise devant correspondre au niveau de complexité des traitements de donnés[9]

Le G29 conseille également de nommer un DPO qui connait le secteur d’activité de l’organisme et comprend ses besoins et ses systèmes d’information[10]

Il est possible pour l’entreprise de désigner tant un salarié qu’un prestataire extérieur[11],tant individu qu’une personne morale, ou encore d’avoir recours à la mutualisation et ainsi désigner un seul et même DPO pour un groupe d’entreprises[12][13]

Le rôle du DPO

Quelles sont les missions du DPO ?

Le DPO doit être appréhendé comme étant au cœur du nouveau cadre juridique imposé par le RGPD, comme un outil de mise en conformité. La CNIL le qualifie même de « chef d’orchestre »de la conformité au RGPD[14]. En effet, selon le RGPD ce dernier a pour mission de :

  • Informer et conseiller l’entreprise sur les traitements de données qu’elle réalise[15],
  • Contrôler le respect des différentes dispositions(nationales et internationales) relatives à la protection des données personnelles[16],
  • Coopérer avec la CNIL[17], et faire office de point de contact pour cette dernière au sein de l’entreprise[18].

L’entreprise devra veiller à associer le DPO à toutes les questions relatives à la protection des données, et ce à tout moment[19]. Ainsi, il conviendra de consulter le DPO avant toute mise en œuvre de traitement, ou avant tout changement intervenant dans le traitement.Il est notamment conseillé de le convier lors des réunions et des prises de décision concernant les traitements [20]. Toutefois, l’avis du DPO ne liera pas l’entreprise, qui pourra passer outre (dans ce cas, il est préconisé de consigner en quelques lignes les raisons pour lesquelles les recommandations du DPO n’ont pas été suivies)[21].

Quels sont les moyens d’action du DPO ?

Afin que le DPO puisse exercer ses différentes missions dans les meilleures conditions, il est impératif qu’il :

  • Dispose des ressources nécessaires[22] pour ce faire, que cela soit en termes de temps de travail,de moyens humains, matériels ou financiers, ou encore de formation[23],
  • Soit indépendant, et par conséquent n’ait pas à recevoir d’instructions sur la manière dont il exerce ses missions [24].

Il est conseillé de préciser ces points dans le contrat de travail du DPO, si ce dernier est un salarié de l’entreprise, ou dans son contrat de service si c’est un prestataire externe.

A la suite de la nomination du DPO, il conviendra de procéder à sa désignation auprès de la CNIL à l’adresse suivante :https://designations.cnil.fr/dpo/designation/organisme.designant.delegue.action[25], et de communiquercette désignation auprès des salariés de l’entreprise afin que ces dernierspuissent clairement l’identifier, et y avoir recours si besoin est[26].Les coordonnées du DPO seront également à communiquer aux personnes concernées par les traitements de données[27].

Pour conclure, lorsque la désignation est obligatoire, l’entreprise s’expose à une amende administrative dont le montant peut s’élever jusqu’à 10 000 000€ou 2% du chiffre mondial de l’entreprise[28] en ne désignant pas de DPO. En conséquence, toute entreprise n’ayant pas nommer de DPO devra, dès maintenant,  se demander si la désignation est d’un DPO est obligatoire, et à défaut si celle-ci s’avèrerait nécessaire d’un point de vue organisationnel. Etant précisé que si une entreprise désigne volontairement un DPO, elle sera tout de même tenue de respecter toutes les contraintes liées à une telle désignation (dont les moyens devant être mis à sa disposition)[29],et donc devra être en mesure d’y faire face. Ainsi, l’éventualité de désigner simplement une personne (n’ayant pas la qualité de DPO) en charge des sujets RGPD et/ ou de répondre aux droits des personnes est également à considérer parles entreprises.

Petit Lexique :
– « Donnée personnelle » : information permettant d’identifier directement ou indirectement une personne, tel que le nom, l’adresse postale, un numéro de matricule, etc.
– « Traitement » ou « Traitement de données personnelles » : toute opération ou ensemble d’opérations appliquées à des données personnelles ou à un ensemble de données, telles que la collecte, la conservation, l’utilisation, la structuration etc. .
– « Responsable du traitement » : personne ou l’organisme qui détermine les finalités et les moyens du traitement de données personnelles« Sous-traitant » : personne ou organisme qui traite les données personnelles au nom et pour le compte du responsable du traitement
– « CNIL » ou « Commission Nationale Informatique et Libertés » : Autorité administrative indépendante, notamment chargée de surveiller l’application de la réglementions applicable en matière de protection des données, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des traitements
– « G29 » : groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales, institué par la directive 95/46/CE, et remplacé par le Comité européen de la protection des données par le RGPD.

[1] LIL, ancien article 22

[2] CNIL, « RGPD : quel bilan 6 mois après son entrée en application ? », 23 novembre 2018

[3] RGPD, article 37.1

[4] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 5

[5]RGPD,article 38.6

[6]G29,« Lignes directrices concernant les délégués à la protection des données(DPD) », 13 décembre 2016, p. 19

[7]RGPD,article 37.5

[8]RGPD,article 37.5

[9] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 13

[10] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 14

[11] RGPD, article 37.6

[12] RGPD, article 37.2

[13] Cette possibilité est également offerte aux autorités et organismes publics en vertu de l’article 37.3 du RGPD

[14] CNIL, « Devenir délégué à la protection des données », 23 mai 2017

[15] RGPD, article 39.1-a

[16] RGPD, article 39.1-b

[17]RGPD, article 39.1-d

[18] RGPD, article 39.1-e

[19] RGPD, article 38.1

[20] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 16

[21] Ibid.

[22] RGPD, article 38.2

[23] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 17

[24] RGPD, article 38.3

[25] RGPD, article 37.7

[26] G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p. 15

[27] RGPD, article 13.1-b et article 14.1-b

[28] RGPD, article 84.4-a

[29]G29, « Lignes directrices concernant les délégués à la protection des données (DPD) », 13 décembre 2016, p.7


Focus métier : le délégué à la protection des données (DPO)
Moyenne des notes : 5 (100%) 1 vote