Le rôle essentiel du DPO au sein des organismes.
Le DPO joue un rôle central « dans la mise en conformité des traitements de données réalisés par les organismes qu’il accompagne » (Voir l’article Désignation d’un DPO, le bilan des mises en demeure de 22 communes).
En effet, en matière de traitement et de collecte de données personnelles, le DPO pilote la conformité d’un organisme au Règlement général sur la protection des données (ci-après RGPD) [1].
A cet égard, le DPO assure ainsi ce lien avec la Cnil, garante de la protection des données à caractère personnel de toute personne physique. Ce qui alors, démontre l’importance du rôle du DPO, qui doit apporter ses connaissances techniques et spécifiques à l’aune du RGPD.
La protection du rôle essentiel du DPO par une réflexion européenne.
Pour rappel, eu égard à l’article 37 du RGPD, le responsable du traitement désigne un DPO, dans le cas où il serait une autorité publique ou un organisme public. De même, tout responsable du traitement se doit de désigner un DPO [2] dans le cadre d’une activité de base qui impliquerait des traitements de données à grande échelle, exigeant un suivi des personnes concernées ou nécessitant le traitement de données sensibles.
En vertu de l’article 38 du RGPD, le responsable du traitement et le sous-traitant ont l’obligation d’aider le DPO à exercer les missions visées à l’article 39 du RGPD, en lui fournissant les ressources nécessaires pour exercer ses missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.
C’est à travers cette obligation que la Cnil exercera des vérifications [3] en adressant « une douzaine de questionnaires à des établissements publics, collectivités territoriales et entreprises privées, notamment dans les secteurs du luxe et des transports ».
Les mesures correctrices.
Durant le mois d’avril, la Cnil a adressé une douzaine de questionnaires aux responsables du traitement dans le secteur public et dans le secteur privé. Ces responsables feront ensuite un retour à la Cnil qui en fera une analyse en coordination avec ses homologues européens.
En fonction du résultat des réponses apportées par les établissements publics, collectivités territoriales et entreprises privées, des contrôles sur place [4] pourront être menés pour compléter les constatations de la Commission [5]. La Cnil pourra ensuite procéder à des mises en demeure ou des sanctions pour manquements constatés.
D’ailleurs, il s’avère que durant l’année 2022, un nombre de 21 sanctions pour un montant de 101.277.900 euros (Voir l’article 101 millions d’euros d’amendes prononcées par la Cnil en 2022), ont été prononcées par la Cnil pour manquements au RGPD. Les amendes prononcées par les autorités européennes de protection des données pour manquements au RGPD représentaient près de 2,5 milliards d’euros [6].
Un nouveau pas vers la garantie de la protection des données personnelles.
Le responsable du traitement détermine les finalités et les moyens d’un traitement. Mais pour procéder à la gestion des données personnelles, il doit en effet s’assurer que son DPO dispose de moyens suffisants [7] tels que le fait d’être « associé en amont des projets impliquant des données personnelles ». En effet, c’est bien à l’aune de ces moyens, que le DPO pourra estimer si un traitement est susceptible d’engendrer un risque.
De plus, tout comme le concevait le CEPD [8], ces réponses apportées par ces responsables du traitement apporteront : une « meilleure compréhension du sujet » en cause et un « suivi ciblé au niveau de l’Union européenne ».
Le DPO conseille l’organisme qui le désigne. Mais ce travail ne peut se faire que si le responsable du traitement lui permet de réaliser le travail qu’il doit accomplir. La Cnil et ses homologues surveilleront alors cette aide qui doit perdurer tout au long de la prise de fonction du DPO.