Menu

Qui peut devenir DPO[1] et quel sera son rôle ?

Qui peut devenir DPO[1] et quel sera son rôle ?

A l’heure du « big data », le DPO (Data Protection Officer / délégué à la protection des données personnelles) va devenir une personne clé dans la gouvernance de l’entreprise et de sa conformité aux règles protectrices des données personnelles. C’est pourquoi, il est essentiel de choisir la / les bonne(s) personne(s) interne(s) et/ou externe(s) à l’entreprise ou au groupe d’entreprises. D’ores et déjà, l’avocat pourra demander sa désignation comme DPO comme il peut, depuis des années déjà, demander sa désignation comme Correspondant Informatique et Libertés (CIL).

1. Qui peut devenir DPO ?

Il ressort de l’article 37 du Règlement que « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39 ».

Le DPO est-il interne ou externe à l’entreprise ?

Le règlement précise que le DPO peut être :

  • un membre du personnel du responsable du traitement ou du sous-traitant ;
  • ou exercer ses missions sur la base d'un contrat de service à l’instar d’un prestataire.

À cet égard, il convient de préciser qu’un avocat peut déjà être désigné Correspondant Informatique (CIL)[2].

La CNIL déclarait d’ailleurs que « l’avocat est un acteur tout à fait pertinent pour remplir les conditions d’un CIL parce qu’il dispose des garanties de compétences techniques et d’indépendance requises par la loi (…) il est, de par sa fonction même, en charge de la protection des libertés publiques et individuelles de sorte que son rôle est essentiel dans les mécanismes de protection des données à caractère personnel définis par les responsables de traitement »

Un avocat pourra aussi demander à devenir DPO et exercer ses fonctions dès l’entrée en vigueur du Règlement, le 25 mai 2018.[3].

Bien que, selon la CNIL, le CIL ne deviendra pas automatiquement DPO, il y a lieu de penser qu’il pourra être pressenti pour le devenir, ce qui aurait pour avantage de prolonger le travail entrepris en qualité de CIL.

En ce sens, l'Association française des correspondants à la protection des données à caractère personnel (AFCDP) prône l’application d'une « clause du grand-père » qui aurait pour vocation de maintenir en poste les CIL déjà désignés et répondant aux conditions de nomination de DPO conditions non encore précisées à la date d’écriture de cet article.

Un groupe d’entreprises peut-il mutualiser un seul DPO ?

Le règlement prévoit aussi la possibilité de mutualiser et donc de désigner pour un groupe d'entreprises un seul DPO sous réserve qu’il soit facilement joignable à partir de chaque lieu d’établissement, par tout moyen (et pas seulement par un rendez-vous physique), dans une langue comprise de toutes les personnes concernées.

À l’inverse, une seule entreprise peut-elle prendre appui sur plusieurs DPO ?

Le règlement est silencieux sur ce point mais ne l’exclut pas de sorte qu’une entreprise, dont l’activité est complexe, pourrait s’associer les services de plusieurs DPO internes et externes et leur attribuer des champs de compétences différents et complémentaires. Dans ce cas, un DPO « chef de groupe » serait souhaitable pour harmoniser les missions de chaque DPO.

 

2. Quelles sont les missions du DPO ?

À titre liminaire, soulignons que les missions du DPO seront d’autant plus importantes que le règlement exige le respect du principe de « l’accountability » et du principe de « privacy by design ».

Ainsi, le règlement supprime les formalités de déclaration auprès de la CNIL mais renforce les contraintes du responsable de traitement qui notamment sera obligé de tenir à jour un registre détaillé des activités de traitement soumis au contrôle de la CNIL. Ce faisant, le principe de « l’accountability » impose à l’entreprise une sorte d’autorégulation permanente.

Également, les entreprises devront, dès la conception de leur projet, vérifier, sous leur seule responsabilité, leur conformité à la règlementation sur la protection des données à caractère personnel et en apporter la preuve en cas de contrôle de la CNIL. Le principe du « privacy by design » trouvera donc à s’appliquer, par exemple, pour les scanner à empreintes digitales et autres objets connectés …

C’est dire que les missions dévolues au DPO seront stratégiques pour nombre d’entreprise qui devront mettre à la disposition du DPO des moyens financiers et humains suffisants.

L’article 39 du Règlement confère aux DPO les missions suivantes :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent;
  • contrôler le respect du règlement y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;
  • dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données;
  • coopérer avec l'autorité de contrôle;
  • faire office de point de contact pour l'autorité de contrôle.

Le règlement précise encore que dans l'accomplissement de ses missions, le DPO doit tenir compte du risque associé aux opérations de traitement en fonction de la nature, de la portée, du contexte et des finalités du traitement.

En pratique, le DPO devra intervenir dès la conception du traitement de données personnelles, il sera consulté sur tous les incidents touchant aux données personnelles et en particulier en cas de violation de ces données personnelles, sera amené à donner un avis éclairé lors de réunions managériales et stratégiques. Le Règlement confrère au DPO un rôle éminent dans l’organisation interne de l’entreprise

À cet égard, lorsque l’avis du DPO n’est pas retenu par l’entreprise, le G29[4] recommande d’en motiver par écrit les raisons. Et, bien entendu, le DPO n’en sera pas tenu personnellement responsable de la non-conformité au Règlement par l’entreprise.

L’article 6.3. du Règlement Intérieur National de la profession d'avocat – RIN applicable à compter du 25 mai 2018 précise aussi que « L’avocat Délégué à la Protection des Données doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client ».

Bien qu’applicable en mai 2018, il est recommandé aux entreprises de s’organiser dès maintenant sur la désignation du / des DPO et d’anticiper sur sa/leur place et son/leur rôle dans l’organisation de l’entreprise.

 

Le cabinet BASTIEN se tient à votre disposition pour vous assister dans vos démarches et, le cas échéant, la désignation d’un DPO.

 

 

 

 


[1] DPO : data protection officer / délégué à la protection des données

[2] Rapport adopté par l’Assemblée générale du CNB des 3 et 4 avril 2009.

[3] Article 6.3. du Règlement Intérieur National de la profession d'avocat – RIN : à compter du 25 mai 2018, date d’application du règlement européen, les dispositions de l’article 6.3.3 sont remplacées par les dispositions suivantes : « 6.3.3 : Délégué à la Protection des Données L’avocat Délégué à la Protection des Données doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client.

L’avocat Délégué à la Protection des Données doit refuser de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de correspondant à la protection des données à caractère personnel (CIL) ou de Délégué à la Protection des Données dans le cadre de procédures administratives ou judiciaires mettant en cause le responsable des traitements. »

[4] Groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales et prévu à l’article 29 de la Directive du 24 octobre 1995 (appelé couramment le « G29 »)

Publié le 25/04/2017

Commentaires

Soyez le premier à commenter cette publication

Pseudo
Email

L'adresse email n'est pas affichée publiquement, mais permet à l'avocat de vous contacter.

Commentaire
(copiez le numéro situé à gauche dans cette case)
Publier