Le règlement du Parlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (ci-après RGPD), applicable le 24 mai 2018, crée la fonction de délégué à la protection des données (ci-après DPO). La désignation du DPO est obligatoire lorsque les activités du responsable de traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou lorsque les activités du responsable de traitement consistent en un traitement à grande échelle de catégories particulières de données relatives à des condamnations pénales.
Avec une augmentation significative du montant des amendes administratives (10 ou 20 millions d’euros ou 2% à 4% du chiffre d’affaires), la question des missions et du positionnement du DPO se pose pour les responsables de traitement.
Le DPO, un acteur de la gestion des risques
Les missions du DPO présentées aux articles 38 et 39 du RGPD sont le conseil, la formation, l’information. Toutefois, ses missions ne se limitent pas à celles décrites aux articles 38 et 39, elles sont plus larges. Le DPO doit, notamment,intervenir dans la préparation des analyses d’impact (Art 35 RGPD) relatives à la protection des données personnelles. En effet, lorsqu’un traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue, avant le traitement, une analyse d’impact des opérations de traitement envisagées. Dans le cadre de cette analyse d’impact, le responsable de traitement doit demander conseil au DPO qui, par ailleurs, vérifie que les recommandations de ses analyses d’impact sont suivies d’effet. Le RGPD attend que le DPO intervienne, en amont de la mise en place d’un traitement, pour analyser les risques éventuels, conseiller le responsable de traitement, pour que les traitements envisagés atteignent leurs objectifs opérationnels tout en respectant la protection des données à caractère personnel.
Le RGPD prévoit également que le DPO fasse directement rapport de ses missions au niveau le plus élevé de la direction du responsable de traitement et, qu’il soit le point de contact avec la CNIL. A ce titre, le DPO conseille, assiste le responsable de traitement dans les situations ou, suite à la survenance d’une faille de sécurité (chez le responsable de traitement ou l’un de ses sous-traitants), il est dans l’obligation de notifier cette faille aux personnes concernées ainsi qu’à la CNIL.
Le RGPD positionne le DPO en acteur de la gestion des risques de l’entreprise ; un acteur dont les missions sont centrées sur la prévention des risques liés à la protection des données personnelles. Ses compétences juridiques, son expérience, sa connaissance de l’entreprise du responsable de traitement, doivent concourir à une prise en compte du risque d’atteinte aux données personnelles avant la mise en place d’un traitement.
Le DPO : une fonction clé ?
Cette création rappelle celle des fonctions clés dans le secteur de l’assurance. Dans ce secteur, la gouvernance repose sur une répartition des fonctions entre différents acteurs que sont le conseil d’administration, les dirigeants effectifs et les responsables des quatre fonctions clés : la vérification de la conformité, la gestion des risques, la fonction actuarielle, l’audit interne. La fonction clé en charge de la vérification de la conformité a pour mission de veiller au respect, par l’assureur, de la réglementation applicable aux activités d’assurance. Il doit élaborer une politique de conformité ainsi qu’un plan de conformité et conseiller en la matière la direction. Ces missions, issues de la directive 2009/138/CE du Parlement européen du 25 novembre 2009, concourent à la mise en place par l’assureur d’une gestion de l’entreprise par les risques.
Qu’attend le RGPD du DPO si ce n’est de veiller au respect de la règlementation applicable à la protection des données personnelles, et par ses recommandations, ses conseils auprès de la direction, élaborer de facto une politique de conformité en la matière. Il semble donc, que le RGPD assimile le DPO à une fonction clé du « respect des dispositions de protection des données personnelles », à l’image de ce qu’est la fonction clé « vérification de la conformité en assurance ».
Les conseils, recommandations, analyses d’impact, procédures, contrôles menés par le DPO, sont autant d’actions qui contribuent à une prise en compte du risque d’atteinte à la protection des données personnelles et limitent, pour le responsable de traitement, le risque de sanction. Aussi, le renforcement des amendes administratives (10 ou 20 millions d’euros ou 2% à 4% du chiffre d’affaires) doit être de nature à inciter les chefs d’entreprise à intégrer le DPO dans leurs procédures de gouvernance. Au regard des sanctions que peuvent encourir les entreprises, les missions du DPO devraient croître en faisant, dans les faits, du DPO une « nouvelle fonction clé pour les assureurs ».
Discussion en cours :
L’AFCDP met à votre disposition :
un exemple de lettre de mission de Délégué à la protection des données (DPO), au format Word pour vous permettre de l’adapter à votre contexte.
un exemple de fiche de poste de DPO, également au format Word.
https://www.afcdp.net/DPO-Fiche-de-poste-et-Lettre-de
Bruno Rasle - Délégué général - delegue.general chez afcdp.net - Tel. 06 1234 0884 - www.afcdp.net