Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGDP »), qui entrera en application dans près d’un an, va modifier considérablement la philosophie actuelle de la protection des données personnelles en supprimant généralement l’obligation des formalités préalables tout en responsabilisant les opérateurs (responsable de traitement et sous-traitant), qui devront être à même de justifier de la conformité des traitements mis en œuvre à la nouvelle réglementation.

Il y a quelques semaines, le groupe de travail « Article 29 », qui regroupe les autorités de protection des données personnelles européennes (ci-après « G29 »), a adopté un avis concernant le délégué à la protection des données personnelles (le « data protection officer », ci-après « DPO »). Il nous est apparu opportun de présenter en synthèse les recommandations formulées par le G29.
En effet, dans ce contexte, le DPO sera la « pierre angulaire » des entreprises pour les assister dans leur mise en conformité au RGDP et assurer un rôle d’intermédiaire entre l’entité à laquelle il appartient, les autorités de contrôle et les personnes concernées.

• Le nouveau DPO : quelle différence avec notre CIL ?

La fonction de DPO peut sembler ne pas être complètement nouvelle en France. En effet, dans notre pays, les entreprises peuvent désigner un correspondant informatique et libertés (ci-après « CIL »), c’est-à-dire un référent sur les questions de protections des données personnelles. Celui-ci a pour mission de conseiller l’entreprise sur les traitements de données mis en œuvre par cette dernière. Il permet également aux entreprises de simplifier les formalités auprès de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL) et bénéfice d’un accès personnalisé (notamment de lignes et adresses électroniques dédiées) aux services de la CNIL.
Toutefois, le futur DPO, prévu par le RGDP, présente certaines différences avec le CIL, notamment sur les qualités exigées du DPO, sur ses missions, sur ses pouvoirs et sur le caractère obligatoire ou facultatif de sa désignation.
En tout état de cause, la désignation du CIL, ayant vocation à devenir DPO, permettra à l’entreprise de s’atteler à sa mise en conformité au RGDP.

• L’obligation de désigner un DPO : qui est concerné ?

Désormais et à la différence des CIL, l’article 37 du RGDP oblige les opérateurs (responsable de traitement et sous-traitant), dans certains cas, à désigner un DPO.
Le G29 encourage, par ailleurs, toutes les entreprises à procéder à la désignation d’un DPO, étant précisé qu’en cas de désignation « volontaire » d’un DPO, l’entreprise devra respecter l’ensemble des dispositions du RGDP y afférentes.
Il est obligatoire de désigner un DPO dans trois différentes hypothèses :
(1) Lorsque le traitement des données personnelles est effectué par une autorité publique ou un organisme public,
(2) Lorsque les « activités de base » du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un « suivi régulier et systématique » à « grande échelle » des personnes concernées,
(3) Lorsque les « activités de base » du responsable du traitement ou du sous-traitant consistent en un traitement à « grande échelle » des données « particulières », c’est-à-dire sensibles au sens de la réglementation en matière de données personnelles (telles que les données de santé ou relatives à des infractions ou condamnations).

La première hypothèse n’appelle pas de commentaire particulier le G29 renvoyant aux définitions du droit national. En revanche, l’avis du G29 a pu, quelque peu, éclairer les deux autres hypothèses en précisant notamment comment interpréter les notions d’« activités de base », « suivi régulier et systématique » et « grande échelle ».

Tout d’abord, s’agissant de la notion d’« activités de base », l’avis du G29 précise qu’il s’agit des activités principales et non accessoires du responsable de traitement ou du sous-traitant. Autrement dit, ce sont les opérations de traitement de données personnelles qui découlent des opérations clés résultant de l’activité du responsable de traitement ou du sous-traitant. Le G29 illustre son propos de plusieurs exemples. Ainsi, par exemple, une société ayant pour activité principale la surveillance d’espaces publics doit nécessairement mettre en œuvre des traitements de données personnelles résultant de cette surveillance, cette société devrait donc désigner un DPO. Au contraire, les opérations de traitement de données personnelles relatives aux salariés de l’entreprise, liées à l’établissement des fiches de paie, des congés, etc., ne seraient que des opérations accessoires.

S’agissant de la notion de « grande échelle », le G29 ne définit pas, plus que le RGDP, cette notion et fournit seulement les critères pouvant être pris en compte pour déterminer s’il s’agit d’un traitement à « grande échelle ». Devront ainsi être pris en compte : le nombre de personnes concernées, le volume des données traitées, la durée et le caractère systématique du traitement mis en œuvre ou encore l’étendue géographique du traitement. Cette notion, dont l’interprétation sera casuistique, place ainsi les entreprises face à une certaine insécurité juridique. Elles devront faire preuve de prudence quant à leur décision de ne pas désigner de DPO.

Enfin, la notion de « suivi régulier et systématique » a été précisément définie par le G29. Le G29 a défini, d’une part, la notion de « suivi régulier » comme étant un suivi « en cours ou se produisant à des intervalles particuliers pour une période donnée » ou « récurrent ou répété à des moments fixes » ou encore « constant ou périodique » et, d’autre part, la notion de « suivi systématique » comme étant un suivi « produit selon un système » ou « pré-organisé, organisé ou méthodique » ou « adopté dans le cadre d’un plan général de collecte de données » ou encore « réalisé dans le cadre d’une stratégie globale ». Cette notion doit nécessairement couvrir toute activité consistant à faire du suivi et du profilage en ligne des personnes.

Il convient, en tout état de cause, de rappeler que l’esprit du RGDP est de viser très largement les opérateurs. En effet, lors de la rédaction du RGDP il a été décidé de ne pas indiquer de seuil (au regard du nombre de salariés d’une entreprise) tel que la Commission l’avait proposé initialement ou tel que le Parlement l’avait inséré lors des amendements en première lecture. Ainsi et comme le rappelle l’avis du G29, il sera recommandé à toutes les entreprises traitant des données personnelles de désigner un DPO.

• Les qualités exigées du DPO : qui peut être DPO ?

Le RGDP précise que le DPO peut être un membre du personnel du responsable de traitement ou du sous-traitant, il peut aussi être externe à l’entreprise et accomplir ses missions sur la base d’un contrat de services. Dans cette hypothèse, le G29 précise qu’une répartition des tâches précise devra être prévue au contrat. Il est également précisé que ledit contrat de services liant le DPO externe à l’entreprise ne pourra être résilié sans motif légitime, ce afin de préserver l’indépendance du DPO.

En tout état de cause, le DPO est choisi sur la base de ses qualités professionnelles et, en particulier, de ses connaissances juridiques et des pratiques en matière de protection des données ainsi que de sa capacité à accomplir les missions qui lui sont confiées au sein de l’entreprise concernée. A cet effet, le G29 a précisé que le DPO devait notamment avoir une expérience significative dans le domaine et devait être formé (et se former continuellement) à cette fin.
Le RGDP prévoit en outre que les entreprises d’un même groupe peuvent nommer un DPO unique pour l’ensemble des activités du groupe. Le G29 indique à ce titre que le DPO doit être facilement joignable par toutes les entreprises du groupe et doit être en mesure de communiquer efficacement avec les personnes concernées par les traitements mis en œuvre par le groupe, c’est-à-dire notamment être capable de communiquer dans la langue utilisée par les personnes concernées.
Le G29 a également recommandé à cette fin que le DPO soit établi dans un état membre de l’Union européenne, sans pour autant exclure toute « délocalisation » du DPO dès lors que cela se justifie pour permettre à ce dernier d’exercer ses missions plus efficacement.

• Les missions du DPO : que doit faire un DPO ?

Le RGDP fixe plusieurs missions au DPO : une mission d’avis et de conseil de l’entreprise, une mission de contrôle du respect du RGDP et enfin une mission de coopération en étant le point de contact avec les autorités de contrôle, le G29 évoquant, à ce titre, un rôle de « facilitateur » pour les autorités de contrôle.

En outre, dans l’optique de responsabiliser les opérateurs concernés par les traitements de données personnelles ayant conduit le RDGP à imposer auxdits opérateurs la tenue d’un registre d’activité, le DPO pourra être missionné par lesdits opérateurs à rédiger et assurer la bonne tenue de ce registre d’activité.

Par ailleurs, le G29 a donné quelques précisions quant au rôle du DPO dans le cadre des analyses d’impact prévues à l’article 35 du RGDP pour assister les opérateurs concernés. Pour rappel, l’analyse d’impact est l’analyse que doit effectuer un responsable de traitement pour autoévaluer les risques que présente son projet de traitement de données personnelles préalablement à sa mise en place et qui peut conduire ledit responsable à consulter les autorités de contrôle lorsque l’analyse d’impact révèle un risque potentiellement élevé. Cette obligation n’est imposée que dans certains cas (visés à l’article 35 du RGDP, tels que le profilage, le traitement massif de données sensibles, la surveillance systématique à grande échelle d’une zone accessible au public). Dans le cadre de cette analyse d’impact, le DPO assistera le responsable de traitement concerné. Le G29 indique, à ce titre, que dans l’hypothèse où le responsable de traitement ne suivrait pas les recommandations du DPO, la documentation afférente à ladite analyse d’impact devra expressément indiqué ce désaccord.

Le G29 précise également que les missions du DPO listées par le RGDP ne sont que des missions minimales et qu’en conséquence d’autres tâches peuvent lui être attribuées par le responsable de traitement ou le sous-traitant.

Enfin, l’avis du G29 rappelle et insiste sur le fait que le DPO n’est pas personnellement responsable des manquements à la réglementation applicable en matière de données personnelles découlant des traitements mis en œuvre par l’entreprise. Le responsable de traitement ou le sous-traitant, le cas échéant, demeure en tout état de cause responsable des non-conformités constatées.

• Les moyens fournis au DPO : que doit mettre en œuvre l’entreprise pour le DPO ?

Pour lui permettre de réaliser ces missions, le responsable de traitement ou le sous-traitant concerné doit veiller à l’indépendance du DPO dans l’exercice de ses missions et doit lui fournir les ressources nécessaires à leur bonne exécution, conformément à l’article 39 du RGDP.

Le G29 a, à ce titre, précisé que ces obligations impliquent notamment :
 La nomination « officielle » du DPO par le biais d’une communication interne au sein de l’entreprise,
 La fourniture au DPO de supports, de temps, de ressources financières, d’infrastructures et, le cas échéant, d’une équipe,
 La mise en relation du DPO avec les autres services de l’entreprise (service juridique, service sécurité, etc.),
 L’invitation du DPO aux réunions importantes de l’entreprise,
 La présence du DPO dès lors qu’une décision relative à une problématique liée aux données personnelles de l’entreprise doit être prise,
 Le suivi et la prise en compte des avis et recommandations du DPO,
 La consultation du DPO dès qu’un incident impactant les données personnelles de l’entreprise se réalise.

Le G29 conclut que plus les opérations de traitements sont compliquées ou sensibles, plus les ressources accordées au DPO doivent être conséquentes.
Le DPO doit par ailleurs exercer ses missions dans le respect du secret professionnel ou d’une obligation de confidentialité. Pour cela, le G29 recommande que le DPO dispose d’une ligne dédiée à l’exercice de sa mission par exemple.

En tout état de cause, afin d’assurer l’indépendance du DPO, le RGDP précise que le responsable de traitement et le sous-traitant doivent veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et, surtout, ce dernier ne puisse être relevé de ses fonctions ou pénalisé du fait de cet exercice. Le G29 précise à cet effet qu’être pénalisé n’implique pas nécessairement une sanction disciplinaire mais que cela peut également résulter de l’absence ou de retard dans l’octroi de promotion ou encore de l’absence de prime que d’autres salariés reçoivent.

Enfin, pour demeurer indépendant, le DPO ne peut exercer d’autres missions qui entraineraient un conflit d’intérêt avec ses fonctions. Le G29 a notamment indiqué, à ce titre, que le DPO ne pouvait, en conséquence, être responsable de la détermination des moyens et des finalités des traitements mis en œuvre au sein de l’entreprise. En effet, dans ce contexte, le DPO serait qualifié de « responsable de traitement » au sens de la réglementation applicable en matière de données personnelles. Il ne peut contrôler et décider, en même temps, des modalités du traitement sans perdre son indépendance.

Un point également est précisé par l’avis du G29, s’agissant précisément du cas de l’avocat qui serait mandaté par une entreprise pour être DPO - un avocat bénéficiant en effet de toutes les qualités voulues pour ce rôle (indépendance, soumission au secret professionnel, formation initiale et continue en la matière…) - en cas de procédure contentieuse impliquant des problématiques liées aux traitements des données personnelles contrôlés par ledit avocat DPO, ce dernier ne pourra assister et représenter l’entreprise concernée dans le cadre de ces procédures contentieuses.

Le RGDP sera applicable à compter du 25 mai 2018. Les entreprises n’ont plus qu’un an environ pour adapter leur politique interne de protection des données personnelles et s’atteler à leur mise en conformité au regard des nouvelles dispositions légales.
Cette mise en conformité passe d’abord par une analyse interne des besoins et obligations spécifiques de l’entreprise en matière de données personnelles et notamment de la nécessité ou de l’opportunité de désigner un DPO.

La CNIL a d’ailleurs récemment annoncé que le formulaire de désignation du DPO devrait être prochainement accessible sur son site internet.

Jean-Baptiste Chanial Avocat Associé - Spécialiste en droit des nouvelles technologies de l'informatique et de la communication Cécile Louwers, Avocat Fiducial Legal by Lamy

Comentaires:

• 
  DPO : Fiche de poste et Lettre de mission, RASLE Bruno, 28 mai 2017

  L’AFCDP (Association Française des Correspondants à la protection des Données Personnelles) met à votre disposition un exemple de lettre de mission de Délégué à la protection des données (DPO), au format Word pour vous permettre de l’adapter à votre contexte et un exemple de fiche de poste de DPO, également au format Word.