Livres blancs Webinars

Dans une volonté d’adaptation à l’ère numérique et un souci d’unification pour l’ensemble de l’Union Européenne, le Règlement Européen n°2016/679 dit Règlement Général sur la Protection des Données (« RGPD » ou « GDPR » en anglais pour « General Data Protection Regulation ») a été adopté le 27 avril 2016. Ce Règlement sera d’application directe dans l’ensemble des États membres à compter du 25 mai 2018. Parmi ses mesures majeures : la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

La nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »), dont le régime est explicité par les articles 37 à 39 du Règlement, est au cœur de la réforme. Son importance s’illustre par l’adoption, dès le 13 décembre 2016 par le G29 en séance plénière, de lignes directrices dédiées. Elles font partie des trois premiers guides adoptés par le G29 et constituent le document le plus fouillé et volumineux des trois.

Livre Blanc

Data éthique / IA éthique : les 2 visages d’un futur responsable

Lire la suite

DPO, pour qui ?

Sans préjudice d’autres cas qui seraient prévus par les Etats Membres, les responsables de traitement et les sous-traitants devront obligatoirement désigner un DPO lorsque :

  • le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans leur rôle juridictionnel) ;  le règlement ne définissant pas « autorité ou un organisme public », la notion est déterminée en vertu du droit national de chaque Etat Membre ;
  • leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;
  • leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.

Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement.

Que signifie « suivi régulier et systématique des personnes à grande échelle » et « activité de base » ?

Le G29 recommande notamment de prendre en considération les facteurs suivants pour déterminer si le traitement est effectué « à grande échelle » :

  • le nombre de personnes concernées ;
  • le volume de données et/ou le spectre des catégories de données ;
  • la durée ou la permanence de l’activité de traitement ;
  • l’étendue géographique de l’activité de traitement.

Le G29 estime, à titre d’exemples, que sont concernés par la nomination d’un DPO les traitements de données (trafic, contenu, localisation) par téléphone, par un fournisseur de services internet ou encore ceux réalisés à titre habituel par un banque ou une société d’assurance. En revanche, ne constitue pas un traitement à grande échelle, le traitement des données d’un patient par un médecin particulier ou relatif aux condamnations et infractions pénales par un avocat.

L’« activité de base » d’une entreprise est considérée par le G29 comme l’activité clé lui permettant de réaliser ses objectifs ou qui est inextricablement liée au traitement (par exemple un hôpital qui traite les données de ses patients, hôpital qui est donc tenu de nommer un DPO ; en revanche, la gestion de la paye ou le service informatique d’une entreprise sont considérées comme des activités marginales).

A la lecture du RGPD, il existait des doutes quant à la portée des hypothèses de désignation reposant sur des notions à interprétation variable comme celui d’« activité de base » d’un responsable ou de traitement « à grande échelle » des données. La réponse du G29 tend vers une large interprétation de ces notions et étend autant que possible les hypothèses de désignation à retenir.

Est-il possible de désigner un DPO en dehors des cas obligatoires ?

Oui, il est possible de le faire volontairement même lorsque les critères susvisés ne sont pas remplis. Le G29 encourage d’ailleurs cette désignation volontaire. Celle-ci emporte la soumission du DPO aux dispositions réglementaires le concernant, au même titre que les DPO ayant été désignés de façon obligatoire.

Les organismes non soumis à l’obligation de désignation d’un DPO et ne souhaitant pas en nommer un, peuvent employer du personnel ou des consultants extérieurs chargés de la protection des données à caractère personnel. Dans cette hypothèse, il est important de veiller à ce qu’il n’y ait aucune confusion quant à leurs titre et tâches. En tout état de cause, le responsable de traitement conservera les obligations lui incombant.

Quelles sont les missions du DPO ?

Le DPO apparaît comme un réel « chef d’orchestre » principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés.

Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.

Bien qu’il soit autorisé à exercer d’autres fonctions, le DPO doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.

Le G29 recommande que le responsable de traitement demande l’avis du DPO, entre autres, sur la nécessité d’effectuer une analyse d’impact sur la protection des données (PIA), la méthodologie à suivre et les garanties à appliquer pour atténuer les risques d’atteinte aux droits de la personne concernée.

Attention, le DPO n’est pas responsable de la conformité au RGPD à la place du responsable de traitement ou du sous-traitant et si l’avis du DPO n’est pas suivi par le responsable de traitement ou le sous-traitant, le G29 insiste sur l’importance pour ce dernier de documenter le processus ayant conduit à une telle décision.

En somme, le DPO représente un élément de coordination à la fois en interne et en externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer. Il occupe ainsi un poste stratégique qui va au-delà de celui du CIL.

Comment choisir un DPO ?

Le choix du DPO doit suivre un certain nombre de critères de compétences et d’éthique. Ainsi, son niveau d’expertise tant technique que réglementaire doit permettre de répondre à la nature, à la complexité du traitement et au niveau de protection exigé pour les données, notamment en cas de données sensibles ou de transfert hors UE. Evidemment, une connaissance approfondie du RGPD et de la réglementation et des pratiques de data privacy nationales et européennes est requise. Connaitre le fonctionnement de l’entreprise (notamment au niveau IT) est également intrinsèque à la fonction.

L’intégrité et l’éthique professionnelle du DPO sont elles-mêmes primordiales et conditionnent la  promotion, à assurer par le DPO, d’une culture de protection des données personnelles au sein de la structure. Le DPO peut être un membre du personnel ou un prestataire externe.

Un groupe d’entreprise peut-il ne nommer qu’un seul DPO ?

Oui, à la condition que le DPO soit facilement accessible par chacun des établissements. Il appartient au responsable de traitement de s’assurer qu’un DPO unique sera en capacité d’exécuter efficacement chaque tâche lui incombant.

La protection des données étant un sujet transverse, elle n’implique pas seulement le DPO mais tous les métiers de l’entreprise, y compris notamment la direction, les services RH et les équipes IT. L’organisation des processus implique la sensibilisation et la remontée d’informations. Ainsi, l’humain représente le maillon fort permettant de garantir le respect du RGPD dans la structure, tant au niveau technique qu’organisationnel.

De Gaulle Fleurance & Associés

Cécile Théard-Jallu est avocate associée chez De Gaulle Fleurance & Associés. Elle intervient principalement sur des opérations contractuelles complexes, notamment de R&D et consortium, de transfert de technologies, de licensing ou liées à des projets de mutation technologique.

En savoir plus >

Commentaires (16)

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.

Nicolas Le 08 juin 2017 à 17h02
Bonjour,

J'ai lu dans un article que le DPO est considéré comme un "salarié protégé" : est-ce bien le cas ? dans quelle mesure ?

Merci
Rasle Bruno Le 09 juin 2017 à 8h03
Non, le Délégué à la protection des données ne sera pas un salarié protégé (situation inchangée par rapport à la situation du CIL actuellement).
Quel était l'article qui indiquait cela ?

Cordialement

Bruno Rasle - Délégué général de l'AFCDP - delegue.general@afcdp.net - www.afcdp.net

ps : Quelques ressources utiles sur le DPO :
- lettre de mission et fiche de poste de DPO :https://www.afcdp.net/DPO-Fiche-de-poste-et-Lettre-de
- liste des formations longues pour devenir DPO :https://www.afcdp.net/-Formations-du-CIL-et-du-futur-DPO-
- job board dédié au métier de DPO :https://www.afcdp.net/-Carrieres-et-Emplois-de-DPO-CIL-
- RGPD annoté et indexé : https://www.afcdp.net/Reglement-annote-et-commente-avec
Cécile Théard-Jallu Le 09 juin 2017 à 13h42
Bonjour,
Merci pour vos messages. Je partage la position de Monsieur Rasle. Ca serait utile de voir comment les choses sont formulées dans l'article qui a mentionné ce point. Pas un salarié protégé au sens du droit du travail, ceci étant, compte tenu des enjeux et de l'indépendance relative qu'il conviendra de lui garantir, le positionnement hiérarchique du DPO sera intéressant à suivre . A votre écoute si vous souhaitez poursuivre cet échange. Pour votre information, nous animerons une nouvelle conférence sur le sujet du GDPR avec Business & Decision le 21 juin à Paris (avec plénière et ateliers pratiques). Nous parlerons notamment du DPO. Vous êtes les bienvenus si cela vous intéresse. Voici le lien au cas où : https://www.businessdecision.fr/events/matinale-gdpr-paris/
Bien cordialement,
Cécile Théard-Jallu
SARR Le 01 septembre 2017 à 21h17
Bonjour,

J'aimerais rebondir sur un point:

"Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement."

Il est vrai que lorsque le Responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant ne l'est pas nécessairement sauf si le sous-traitant en question entre lui-même dans les critères de désignation.

Le fait que le Responsable de traitement ait désigné un DPO, ne défausse pas son sous-traitant de son obligation de désignation.

Le cas échéant, les deux DPO devront travailler de concert.

Cordialement.

Mme SARR Aïssatou
Group Data Protection Officer
RDVG Le 22 septembre 2017 à 15h37
Je suis le gérant d'une SARL dans le secteur d'internet qui a des bases de données personnelles au sens de la CNIL. Je n'ai pas de salariés. Puis-je en tant que gérant revétir le role de DPO au même titre que j'avais fait les déclarations CNIL.
Merci
Rasle Bruno Le 24 septembre 2017 à 20h42
Non. Votre qualité de gérant fait de vous le responsable de traitement (celui qui décide des finalités et des moyens).

N'ayant pas de salarié, vous devrez donc opter pour un DPO externe (cf. article 37.6 du RGPD).
Cécile Théard-Jallu Le 24 septembre 2017 à 21h03
Bonsoir
Merci . J'ajouterai : sous réserve que vous soyez effectivement tenu de nommer un DPO ce qui n'est pas systématique (il faudrait étudier l'éventuelle application des conditions dans votre cas). Vous pouvez en nommer un volontairement auquel cas vous devrez respecter les règles correspondantes . Vous pouvez partager un DPO avec d'autres structures .
En espérant que cela réponse à votre point, A votre écoute si vous avez d'autres questions.
Cécile Théard -Jallu
Valérie Geneyton Le 15 novembre 2017 à 15h23
Bonjour
Merci pour cet article. Nous le relayons en complément de notre article : "marketing B2B et GDPR : quelles adaptations indispensables ? "
https://www.abileo.com/RGPD-GDPR-Marketing-B2B
RDVG Le 22 novembre 2017 à 8h12
Merci. Mais que faire si la société a un CA très faible et donc impossible de rémunérer quelqu'un pour cela ? fermer ?
Pharma Le 12 décembre 2017 à 15h01
Bonjour,

je suis pharmacienne et donc je possède une base de données personnelles liée à la santé, dois-je nommer un DPO? dans le même cas mon mari médecin a t'il les mêmes contraintes?

Cordialement
Duizabo Le 28 mars 2018 à 15h53
Quelles sont les formations les plus adaptées pour se former à ce nouveau métier ?
Berthot Guy Le 04 avril 2018 à 13h04
Bonjour,
Un comptable ou un prestataire d'un programme informatique peuvent ils être considérés comme sous-traitant des données puisqu'ils sont en possession de coordonnées du personnel ou dans le cadre du prestataire informatique des coordonnées des clients et fournisseurs, de la gestion commerciale et comptable de la société.
Merci pour vos réponses.
RASLE Bruno Le 05 avril 2018 à 5h50
Pour Duizabo :

Nous publions sur notre site web, par ordre chronologique d’ouverture effective, sans aucun jugement ni classement d’aucune sorte, les cursus longs qui forment les futurs DPO (certaines d’entre elles formaient déjà les CIL - Correspondants Informatique et Libertés - préfigurateurs du Délégué à la Protection des Données).

https://www.afcdp.net/Cursus-longs-qui-forment-les-CIL

Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
RASLE Bruno Le 05 avril 2018 à 6h13
Pour Guy Berthot

Je vous invite à prendre connaissance de l'Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » publié le 16 février 2010 par le G29, dans lequel est clairement expliqué comment déterminer le rôle (et les responsabilités) de chacun.

Extraits : "Les deux conditions fondamentales pour agir en qualité de sous-traitant sont, d’une part, d’être une entité juridique distincte du responsable du traitement et, d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier. L'activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue. En outre, le rôle de sous-traitant ne découle pas de la nature de l'entité traitant des données mais de ses activités concrètes dans un cadre précis. En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en
tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations. "
https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf

Effectivement, un cabinet comptable est le sous-traitant d'un responsable de traitement quand ce dernier lui confie sa comptabilité (et lui communique, pour ce faire, des données personnelles).
Le cabinet comptable ne fait qu'exécuter les instructions de son client. Il n'a aucune liberté pour utiliser les données reçues pour en faire autre chose, il doit les détruire à la fin du contrat, etc.

Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
RASLE Bruno Le 05 avril 2018 à 6h14
Pour Pharma :

Les situations dans lesquelles la désignation d'un Délégué à la protection des données est obligatoire sont décrites dans l'article 37 du RGPD (voir ici une version indexée et annotée du texte https://www.afcdp.net/Reglement-annote-et-commente-avec).

Sa désignation est obligatoire dans certains cas, pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Le débat porte principalement sur la notion de traitement à « grande échelle » que ne définit pas le RGPD.

Voici ce qu'écrit le G29 dans ses lignes directrices sur le Délégué à la protection des données (https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48137) :

"En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations. Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement «à grande échelle» pour certains types d’activités de traitement courantes.

En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en oeuvre à grande échelle:
- le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;
- le volume de données et/ou le spectre des données traitées;
- la durée, ou la permanence, des activités de traitement des données;
- l’étendue géographique de l’activité de traitement."

En dehors de ces cas de désignation obligatoire, désigner un DPO est encouragé par la CNIL. En effet, la désignation permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Attention : Etant responsable de traitement, vous ne pouvez pas vous désigner en tant que Délégué à la protection des données. En interne, ce ne peut être que l'un de vos salariés (mais les conditions doivent être remplies - voir le téléservice de désignation d'un DPD sur le site web de la CNIL https://www.cnil.fr/designation-dpo) ou un prestataire, sur la base d'un contrat de service.

Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
Berthot Guy Le 05 avril 2018 à 10h57
Grand merci pour vos informations qui me sont très utiles.
Bien à vous
Guy Berthot