Dans une volonté d’adaptation à l’ère numérique et un souci d’unification pour l’ensemble de l’Union Européenne, le Règlement Européen n°2016/679 dit Règlement Général sur la Protection des Données (« RGPD » ou « GDPR » en anglais pour « General Data Protection Regulation ») a été adopté le 27 avril 2016. Ce Règlement sera d’application directe dans l’ensemble des États membres à compter du 25 mai 2018. Parmi ses mesures majeures : la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).
La nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »), dont le régime est explicité par les articles 37 à 39 du Règlement, est au cœur de la réforme. Son importance s’illustre par l’adoption, dès le 13 décembre 2016 par le G29 en séance plénière, de lignes directrices dédiées. Elles font partie des trois premiers guides adoptés par le G29 et constituent le document le plus fouillé et volumineux des trois.
DPO, pour qui ?
Sans préjudice d’autres cas qui seraient prévus par les Etats Membres, les responsables de traitement et les sous-traitants devront obligatoirement désigner un DPO lorsque :
- le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans leur rôle juridictionnel) ; le règlement ne définissant pas « autorité ou un organisme public », la notion est déterminée en vertu du droit national de chaque Etat Membre ;
- leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;
- leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.
Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement.
Que signifie « suivi régulier et systématique des personnes à grande échelle » et « activité de base » ?
Le G29 recommande notamment de prendre en considération les facteurs suivants pour déterminer si le traitement est effectué « à grande échelle » :
- le nombre de personnes concernées ;
- le volume de données et/ou le spectre des catégories de données ;
- la durée ou la permanence de l’activité de traitement ;
- l’étendue géographique de l’activité de traitement.
Le G29 estime, à titre d’exemples, que sont concernés par la nomination d’un DPO les traitements de données (trafic, contenu, localisation) par téléphone, par un fournisseur de services internet ou encore ceux réalisés à titre habituel par un banque ou une société d’assurance. En revanche, ne constitue pas un traitement à grande échelle, le traitement des données d’un patient par un médecin particulier ou relatif aux condamnations et infractions pénales par un avocat.
L’« activité de base » d’une entreprise est considérée par le G29 comme l’activité clé lui permettant de réaliser ses objectifs ou qui est inextricablement liée au traitement (par exemple un hôpital qui traite les données de ses patients, hôpital qui est donc tenu de nommer un DPO ; en revanche, la gestion de la paye ou le service informatique d’une entreprise sont considérées comme des activités marginales).
A la lecture du RGPD, il existait des doutes quant à la portée des hypothèses de désignation reposant sur des notions à interprétation variable comme celui d’« activité de base » d’un responsable ou de traitement « à grande échelle » des données. La réponse du G29 tend vers une large interprétation de ces notions et étend autant que possible les hypothèses de désignation à retenir.
Est-il possible de désigner un DPO en dehors des cas obligatoires ?
Oui, il est possible de le faire volontairement même lorsque les critères susvisés ne sont pas remplis. Le G29 encourage d’ailleurs cette désignation volontaire. Celle-ci emporte la soumission du DPO aux dispositions réglementaires le concernant, au même titre que les DPO ayant été désignés de façon obligatoire.
Les organismes non soumis à l’obligation de désignation d’un DPO et ne souhaitant pas en nommer un, peuvent employer du personnel ou des consultants extérieurs chargés de la protection des données à caractère personnel. Dans cette hypothèse, il est important de veiller à ce qu’il n’y ait aucune confusion quant à leurs titre et tâches. En tout état de cause, le responsable de traitement conservera les obligations lui incombant.
Quelles sont les missions du DPO ?
Le DPO apparaît comme un réel « chef d’orchestre » principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés.
Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.
Bien qu’il soit autorisé à exercer d’autres fonctions, le DPO doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.
Le G29 recommande que le responsable de traitement demande l’avis du DPO, entre autres, sur la nécessité d’effectuer une analyse d’impact sur la protection des données (PIA), la méthodologie à suivre et les garanties à appliquer pour atténuer les risques d’atteinte aux droits de la personne concernée.
Attention, le DPO n’est pas responsable de la conformité au RGPD à la place du responsable de traitement ou du sous-traitant et si l’avis du DPO n’est pas suivi par le responsable de traitement ou le sous-traitant, le G29 insiste sur l’importance pour ce dernier de documenter le processus ayant conduit à une telle décision.
En somme, le DPO représente un élément de coordination à la fois en interne et en externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer. Il occupe ainsi un poste stratégique qui va au-delà de celui du CIL.
Comment choisir un DPO ?
Le choix du DPO doit suivre un certain nombre de critères de compétences et d’éthique. Ainsi, son niveau d’expertise tant technique que réglementaire doit permettre de répondre à la nature, à la complexité du traitement et au niveau de protection exigé pour les données, notamment en cas de données sensibles ou de transfert hors UE. Evidemment, une connaissance approfondie du RGPD et de la réglementation et des pratiques de data privacy nationales et européennes est requise. Connaitre le fonctionnement de l’entreprise (notamment au niveau IT) est également intrinsèque à la fonction.
L’intégrité et l’éthique professionnelle du DPO sont elles-mêmes primordiales et conditionnent la promotion, à assurer par le DPO, d’une culture de protection des données personnelles au sein de la structure. Le DPO peut être un membre du personnel ou un prestataire externe.
Un groupe d’entreprise peut-il ne nommer qu’un seul DPO ?
Oui, à la condition que le DPO soit facilement accessible par chacun des établissements. Il appartient au responsable de traitement de s’assurer qu’un DPO unique sera en capacité d’exécuter efficacement chaque tâche lui incombant.
La protection des données étant un sujet transverse, elle n’implique pas seulement le DPO mais tous les métiers de l’entreprise, y compris notamment la direction, les services RH et les équipes IT. L’organisation des processus implique la sensibilisation et la remontée d’informations. Ainsi, l’humain représente le maillon fort permettant de garantir le respect du RGPD dans la structure, tant au niveau technique qu’organisationnel.
Commentaires (16)
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.
J'ai lu dans un article que le DPO est considéré comme un "salarié protégé" : est-ce bien le cas ? dans quelle mesure ?
Merci
Quel était l'article qui indiquait cela ?
Cordialement
Bruno Rasle - Délégué général de l'AFCDP - delegue.general@afcdp.net - www.afcdp.net
ps : Quelques ressources utiles sur le DPO :
- lettre de mission et fiche de poste de DPO :https://www.afcdp.net/DPO-Fiche-de-poste-et-Lettre-de
- liste des formations longues pour devenir DPO :https://www.afcdp.net/-Formations-du-CIL-et-du-futur-DPO-
- job board dédié au métier de DPO :https://www.afcdp.net/-Carrieres-et-Emplois-de-DPO-CIL-
- RGPD annoté et indexé : https://www.afcdp.net/Reglement-annote-et-commente-avec
Merci pour vos messages. Je partage la position de Monsieur Rasle. Ca serait utile de voir comment les choses sont formulées dans l'article qui a mentionné ce point. Pas un salarié protégé au sens du droit du travail, ceci étant, compte tenu des enjeux et de l'indépendance relative qu'il conviendra de lui garantir, le positionnement hiérarchique du DPO sera intéressant à suivre . A votre écoute si vous souhaitez poursuivre cet échange. Pour votre information, nous animerons une nouvelle conférence sur le sujet du GDPR avec Business & Decision le 21 juin à Paris (avec plénière et ateliers pratiques). Nous parlerons notamment du DPO. Vous êtes les bienvenus si cela vous intéresse. Voici le lien au cas où : https://www.businessdecision.fr/events/matinale-gdpr-paris/
Bien cordialement,
Cécile Théard-Jallu
J'aimerais rebondir sur un point:
"Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement."
Il est vrai que lorsque le Responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant ne l'est pas nécessairement sauf si le sous-traitant en question entre lui-même dans les critères de désignation.
Le fait que le Responsable de traitement ait désigné un DPO, ne défausse pas son sous-traitant de son obligation de désignation.
Le cas échéant, les deux DPO devront travailler de concert.
Cordialement.
Mme SARR Aïssatou
Group Data Protection Officer
Merci
N'ayant pas de salarié, vous devrez donc opter pour un DPO externe (cf. article 37.6 du RGPD).
Merci . J'ajouterai : sous réserve que vous soyez effectivement tenu de nommer un DPO ce qui n'est pas systématique (il faudrait étudier l'éventuelle application des conditions dans votre cas). Vous pouvez en nommer un volontairement auquel cas vous devrez respecter les règles correspondantes . Vous pouvez partager un DPO avec d'autres structures .
En espérant que cela réponse à votre point, A votre écoute si vous avez d'autres questions.
Cécile Théard -Jallu
Merci pour cet article. Nous le relayons en complément de notre article : "marketing B2B et GDPR : quelles adaptations indispensables ? "
https://www.abileo.com/RGPD-GDPR-Marketing-B2B
je suis pharmacienne et donc je possède une base de données personnelles liée à la santé, dois-je nommer un DPO? dans le même cas mon mari médecin a t'il les mêmes contraintes?
Cordialement
Un comptable ou un prestataire d'un programme informatique peuvent ils être considérés comme sous-traitant des données puisqu'ils sont en possession de coordonnées du personnel ou dans le cadre du prestataire informatique des coordonnées des clients et fournisseurs, de la gestion commerciale et comptable de la société.
Merci pour vos réponses.
Nous publions sur notre site web, par ordre chronologique d’ouverture effective, sans aucun jugement ni classement d’aucune sorte, les cursus longs qui forment les futurs DPO (certaines d’entre elles formaient déjà les CIL - Correspondants Informatique et Libertés - préfigurateurs du Délégué à la Protection des Données).
https://www.afcdp.net/Cursus-longs-qui-forment-les-CIL
Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
Je vous invite à prendre connaissance de l'Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » publié le 16 février 2010 par le G29, dans lequel est clairement expliqué comment déterminer le rôle (et les responsabilités) de chacun.
Extraits : "Les deux conditions fondamentales pour agir en qualité de sous-traitant sont, d’une part, d’être une entité juridique distincte du responsable du traitement et, d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier. L'activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue. En outre, le rôle de sous-traitant ne découle pas de la nature de l'entité traitant des données mais de ses activités concrètes dans un cadre précis. En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en
tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations. "
https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf
Effectivement, un cabinet comptable est le sous-traitant d'un responsable de traitement quand ce dernier lui confie sa comptabilité (et lui communique, pour ce faire, des données personnelles).
Le cabinet comptable ne fait qu'exécuter les instructions de son client. Il n'a aucune liberté pour utiliser les données reçues pour en faire autre chose, il doit les détruire à la fin du contrat, etc.
Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
Les situations dans lesquelles la désignation d'un Délégué à la protection des données est obligatoire sont décrites dans l'article 37 du RGPD (voir ici une version indexée et annotée du texte https://www.afcdp.net/Reglement-annote-et-commente-avec).
Sa désignation est obligatoire dans certains cas, pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le débat porte principalement sur la notion de traitement à « grande échelle » que ne définit pas le RGPD.
Voici ce qu'écrit le G29 dans ses lignes directrices sur le Délégué à la protection des données (https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48137) :
"En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations. Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement «à grande échelle» pour certains types d’activités de traitement courantes.
En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en oeuvre à grande échelle:
- le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;
- le volume de données et/ou le spectre des données traitées;
- la durée, ou la permanence, des activités de traitement des données;
- l’étendue géographique de l’activité de traitement."
En dehors de ces cas de désignation obligatoire, désigner un DPO est encouragé par la CNIL. En effet, la désignation permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.
Attention : Etant responsable de traitement, vous ne pouvez pas vous désigner en tant que Délégué à la protection des données. En interne, ce ne peut être que l'un de vos salariés (mais les conditions doivent être remplies - voir le téléservice de désignation d'un DPD sur le site web de la CNIL https://www.cnil.fr/designation-dpo) ou un prestataire, sur la base d'un contrat de service.
Bruno Rasle - Délégué général de l’AFCDP - delegue.general@afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net
Bien à vous
Guy Berthot