La mise en œuvre d’une gouvernance effective en matière de protection des données est liée au rôle du DPO et à ses relations avec les équipes opérationnelles. Tour d’horizon de la notion de "gouvernance effective" à la lumière des délibérations de la CNIL et des enjeux pour les DPO.

I. Quelles missions pour le DPO ?

Les missions du DPO au sens du RGPD.

Le DPO (Délégué à la Protection des Données) est un professionnel chargé de veiller à la conformité et au respect des réglementations en matière de protection des données au sein d’une organisation.

Ce dernier effectue les missions suivantes conformément à l’article 39 du RGPD :

• Informe et conseille le responsable du traitement, le sous-traitant et les employés aux titre des traitements de données personnelles mis en œuvre. Et notamment de leur expliquer leurs obligations en vertu du RGPD ainsi que des législations en vigueur.
• Contrôle le respect du RGPD et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes concernant le traitement des données personnelles. Cela inclut la répartition des responsabilités, la formation du personnel participant au traitement des données ainsi que la réalisation d’audits pour garantir la conformité.
• Fournir des conseils sur demande, notamment pour les analyses d’impact relative à la protection des données et s’assurer de leur mise en œuvre conformément à l’article 35 du RGPD.
• Coopérer avec l’autorité de contrôle compétente.
• Servir de point de contact pour l’autorité de contrôle sur les questions relatives au traitement de données. Cela inclut la consultation préalable requise par l’article 36 du RGPD et la tenue de consultations sur d’autres sujets, le cas échéant.

Les missions du DPO précisées par la CNIL.

Selon le guide pratique RGPD - Délégué à la protection des données, la CNIL a apporté de nombreuses contributions sur les contours des missions des DPO.

La CNIL a notamment souligné les aspects suivants.

Le DPO doit conseiller et accompagner l’organisme concerné. En particulier, il :

• Apporte son expertise au responsable de traitement pour assurer la conformité des traitements.
• Diffuse une culture de protection des données au sein de l’organisation
• Accompagne l’organisation dans l’évolution de ses traitements et intervient à des moments clés pour : tenir un registre des traitements, rédiger des politiques internes, intervenir en cas de violation de données, etc.
• Sensibilise le personnel via des formations, communications internes sur la protection des données, et incarne le référent interne en matière de protection des données.

Par ailleurs, le DPO a un rôle de pilote de la conformité au RGPD. Ainsi, il :

• Met en place un comité RGPD pour orienter les actions concernant les traitements de données.
• Participe à l’élaboration et à la mise à jour des documents de gouvernance.
• Maintien un contact régulier avec les opérationnels, prévoit des procédures internes en cas de contrôle de la CNIL, de violation de données, ou de demandes extérieures…
• Établit un tableau de bord des activités menées et collabore avec les interlocuteurs pertinents de l’organisme.
• Garantit la pertinence et pilote l’actualisation de la documentation comprenant le registre des activités de traitement, les AIPD, les violations de données, les contrats de sous-traitance, etc.

Le DPO doit aussi contrôler l’effectivité des règles mises en œuvre, pour assurer une « gouvernance effective » en matière de données personnelles. A ce titre, il :

• Effectue des vérifications internes ou externes ou des audits en collaboration avec d’autres fonctions clés (ex : responsable de la sécurité des systèmes d’information).
• Contrôle l’exactitude du registre des traitements, la conformité des traitements sensibles et des mesures de protection des données mises en place (comme les AIPD).

Enfin, le DPO a un rôle de point de contact sur tous les sujets en matière de protection des données personnelles. Il :

• Coopère avec la CNIL et facilite les échanges lors de contrôles ou de consultations.
• Est le point de contact pour les personnes concernées par les traitements de données pour toute question ou demande d’exercice de droits (accès, effacement, rectification, etc.).

II. Gouvernance des données : quelle définition ?

La notion de gouvernance des données.

Le délégué à la protection des données détient un rôle clé en matière de gouvernance des données au sein de l’organisation. Mais qu’entend-on par gouvernance des données ?

Cette notion de gouvernance des données personnelles au sein d’une organisation désigne l’ensemble des politiques, des processus, des normes et des contrôles mis en place pour gérer et protéger les données personnelles de manière efficace, éthique et conforme aux réglementations et législations en vigueur.

La gouvernance des données implique plusieurs éléments clés :

• Tout d’abord, il faut que soit établi au sein de l’organisation des lignes de responsabilité claires pour la gestion des données en désignant des responsables et en communiquant de manière transparente sur les pratiques de collecte, d’utilisation et de stockage des données.

• Les activités liées au domaine des données personnelles doivent respecter les législations et réglementations en matière de protection des données tel que le RGPD ou la loi Informatique et libertés en France.

• Il est primordial d’évaluer et gérer les risques liés à la collecte, au stockage et au traitement des données personnelles en mettant en œuvre des mesures de sécurité appropriées contre d’éventuelles violations ou accès non autorisés.

• La mise en place de politiques et procédures claires permet d’encadrer la collecte, l’utilisation, le partage et la conservation des données tout en garantissant la confidentialité, l’intégrité et la disponibilité de celles-ci.

• La formation et la sensibilisation permettent quant à elle d’enseigner les bonnes pratiques au personnel et aux salariés de l’organisation en matière de protection des données, en les informant sur les risques, les responsabilités et les protocoles à suivre.

• Enfin, la gouvernance implique la mise en place d’audit et de mécanismes de surveillance réguliers pour vérifier la conformité aux politiques et aux réglementations applicables.

La gouvernance des données au sens large vise donc à établir un cadre robuste et cohérent pour gérer les données personnelles de manière responsable, sécurisée et conforme.

La notion de gouvernance effective selon la CNIL.

La notion de « gouvernance effective » dont les contours demeurent flous, découle de l’application de l’article 5 du RGPD. La CNIL a été amenée par ses travaux et ses délibérations à définir de manière plus précise ce à quoi correspond la « gouvernance effective ».

• Comme mentionné précédemment, la gouvernance des données correspond à la gestion structurée, stratégique et responsable des données au sein de l’organisation. Autrement dit, elle correspond à l’ensemble des mesures techniques, organisationnelles, aux procédures, aux documentations et aux politiques qui régissent la protection et le traitement des données personnelles au sein de l’organisation. Mais, les opérations courantes portant sur les données à caractère personnel ne requièrent pas la seule mise en place de telles mesures mais nécessitent aussi d’assurer leur effectivité au cours du temps ; de la collecte des données jusqu’à leur destruction/anonymisation.

• Ainsi et s’agissant tout d’abord de l’organisation interne d’une organisation, la question de la désignation d’un DPO est essentielle. A ce titre, et conformément au formulaire de demande de délivrance d’un label - Pour une procédure de gouvernance tendant à assurer la protection des données, la CNIL souligne que la nomination d’un DPO et les ressources qui lui sont allouées sont des critères pertinents afin d’évaluer l’existence d’une gouvernance effective. Il s’agit de démontrer le rôle proactif du DPO lorsqu’il est amené à « piloter la mise en conformité des traitements, dès leur conception et par défaut, et d’être associé systématiquement et en amont aux réflexions sur toutes les questions relatives à la protection des données ». L’effectivité est une clé de la gouvernance, c’est pourquoi la gouvernance effective ne saurait être constituée par une simple documentation interne, des politiques et des processus génériques. A l’inverse, cette gouvernance ne doit pas être figée dans le temps mais doit être constamment enrichie et actualisée pour être réellement opérationnelle. Cela implique de passer par des contrôles réguliers et dans le temps, avec la participation du DPO.

• Dans le cadre des relations entre responsable de traitement et sous-traitant, les parties doivent prévoir un ou plusieurs contrats qui régissent les traitements de données, c’est l’une des obligations parmi l’ensemble de celles qu’ils doivent respecter conformément à l’article 28 du RGPD. Le sous-traitant doit traiter les données sur instruction documentée du responsable de traitement et prendre des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles. La CNIL a eu l’occasion, au travers de sa délibération SAN-2022-018 Infogreffe, de préciser que les mesures de sécurité des sous-traitants doivent faire l’objet d’un contrôle « satisfaisant et régulier » par le responsable de traitement. L’effectivité de la gouvernance passe ainsi par le suivi et l’évaluation du respect des obligations qui incombent aux parties. Le DPO, doit là aussi, être activement impliqué dans la réalisation des audits et des tests, tout en contribuant à la correction et à la documentation des procédures.

• Autre exemple, la gouvernance effective permet de prévoir quelles mesures prendre pour faire face à une violation de données, répondre à une demande d’exercice de droit de personne, dans quelle situation et par quelle méthode. Ces méthodes mises en place au sein de l’organisation permettent de répondre de manière effective aux demandes des personnes - au cours du temps - mais aussi, de savoir comment réagir lors de la survenance d’une violation de données. Dans le cadre des violations de données, l’organisation doit documenter la violation afin d’être en mesure de démontrer sa conformité légale et réglementaire lors d’un éventuel contrôle d’une autorité compétente.

• Afin de garantir une gouvernance effective, il est aussi essentiel de prendre en charge la gestion des réclamations (en premier lieu les demandes d’exercice de droits) et des incidents (les violations de données). Le DPO occupe un rôle clé en tant que point de contact en pilotant la gestion des demandes des personnes concernées en ce qui concerne leurs données et leurs droits. La journalisation des incidents ou des réclamations est capitale et permet de suivre les traitements problématiques et d’identifier les zones à risque.

III. Comment assurer une gouvernance effective des données lors de la coopération entre DPO et les équipes opérationnelles ?

L’implication du DPO au quotidien.

L’implication du DPO est essentielle à une gouvernance effective en matière de protection des données. La gouvernance des données ne doit pas être de façade :

• En pratique, dans sa mission de conseil et d’accompagnement de l’organisme qui l’a désigné, le DPO diffuse une véritable culture de la protection des données au sein de l’organisation. Il accompagne cette dernière dans ses opérations de traitement, de la conception, à la collecte de données, en passant par le stockage, jusqu’à la destruction/anonymisation de données.

• De plus, il accompagne l’organisation dans la mise en place du registre des traitements et sa mise à jour. Il rédige ou participe à la rédaction des politiques internes, des procédures et des méthodologies destinées aux membres du personnel de l’organisation. Ces documentations participent à la diffusion de la culture de la protection des données au sein de l’organisation et offrent surtout de véritables outils pédagogiques afin de faire d’appréhender les questions de protection des données : chartes d’utilisation des ressources informatiques, politique en matière de prospection commerciale, etc.

• Il apporte des réponses en matière de protection des données aux personnes concernées et répond aux demandes d’exercice de droit.

• Dans les grandes lignes du pilotage de la conformité au RGPD, le DPO doit maintenir un contact régulier avec les opérationnels et joue un rôle de « diplomate », à l’écoute de leurs préoccupations. Il doit en effet appréhender les spécificités de chaque service et métier, rappeler les lignes rouges si nécessaires et mettre en place des procédures en cas de contrôle de CNIL ou de toute demande extérieure (DGCCRF, Inspection du travail….).

• Le DPO contrôle l’effectivité des règles applicables, notamment en effectuant des vérifications internes ou externes régulières, mais aussi des audits en collaboration avec des acteurs clés tel que le responsable de la sécurité des systèmes d’information. Par ces vérifications, la gouvernance effective en matière de sécurité des données est relativement renforcée et permet d’appréhender les nouvelles menaces.

• Enfin, au cours du temps, le DPO s’assure de la pertinence de la documentation de l’organisation.

Jérôme Deroulez Avocat au Barreau de Paris [->deroulez@cabinetderoulez.com]