Devenir délégué à la protection des données
Chef d’orchestre de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est au cœur du règlement européen.
Le règlement européen sur la protection des données (RGPD) pose les règles applicables à la désignation, à la fonction et aux missions du délégué, sous peine de sanctions.
Les lignes directrices du Comité européen de la protection des données (CEPD), regroupant les autorités de protection des données européennes, clarifient et illustrent d’exemples concrets le cadre juridique applicable à la fonction de délégué à la protection des données, ou DPO (Data Protection Officer).
Le guide du DPO publié par la CNIL vise à accompagner à la fois les organismes dans la mise en place de la fonction de délégué à la protection des données (ou DPO pour Data Protection Officer) et les DPO dans l’exercice de leur métier.
À retenir
Le délégué est chargé de piloter la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Sous réserves de certaines conditions, un délégué, interne ou externe, peut être désigné pour plusieurs organismes.
Pour garantir l’effectivité de ses missions, le délégué doit :
Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?
La désignation d’un délégué est obligatoire pour :
- les autorités ou les organismes publics, à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles ;
- les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par le CEPD. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.
Les organismes peuvent désigner un délégué interne ou externe à leur structure.
Sous certaines conditions, le délégué à la protection des données peut, par ailleurs, être mutualisé, c’est-à-dire désigné pour plusieurs organismes. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.
Les lignes directrices du CEPD clarifient les critères posés par le règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.
Qui peut être délégué ?
Connaissances et compétences du délégué
Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du RGPD).
La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :
- aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
- ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper de fonctions, au sein de l’organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie ») ;
- expertise en matière de législations et pratiques en matière de protection des données, acquise par exemple grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
- bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données ;
- le DPO doit être positionné efficacement au sein de l’organisme pour être en capacité de faire directement rapport au niveau le plus élevé, d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts (expert informatique, juriste, expert en communication, traducteur, etc.).
Il n’existe donc pas de profil type du délégué. En effet, il ressort d’une étude menée en 2020 qu’environ 28 % des DPO ont un profil informatique, le même pourcentage un profil juridique, et les 43 % restant sont issus de l’administratif, de la finance, de la conformité, de l’audit, etc.
Dans quel cas peut-il exister un conflit d’intérêts ?
La fonction de délégué peut être exercée à temps plein ou à temps partiel. Dans ce dernier cas, le délégué ne peut occuper de fonctions au sein de l’organisme le conduisant à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). L’existence d’un conflit d’intérêts est donc appréciée au cas par cas.
À titre d’exemples, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts avec la fonction de DPO : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.
Un conflit d’intérêts peut également exister, par exemple, si un délégué, sur la base d’un contrat de service, représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données personnelles. Ce cumul est, dans tous les cas, interdit.
Comment désigner un délégué à la protection des données ?
Le DPO est désigné par l’organisme directement sur le site de la CNIL, par l’intermédiaire d’un formulaire en ligne.
Désigner un délégué à la protection des données
Quelles sont les missions du délégué à la protection des données ?
« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect de la règlementation en matière de protection des données (RGPD, droit national, etc.) ;
- de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après) ;
- d’être le point de contact des personnes concernées.
Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Les lignes directrices détaillent le rôle du délégué en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement.
Le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.
Quels sont les moyens d’action du délégué à la protection des données ?
Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
- s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation) ;
- lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe) ;
- lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
- lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme) ;
- veiller à l’absence de conflit d’intérêts.
Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme.
Quel est le statut du DPO ?
Quelle est la responsabilité du délégué à la protection des données ?
Les lignes directrices du CEPD précisent que le délégué n’est pas responsable en cas de non-respect du règlement. C’est le responsable du traitement (RT) ou le sous-traitant (ST) qui est tenu de s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la règlementation (article 24.1 du RGPD). Le respect de la protection des données relève donc de la responsabilité du RT ou du ST.
Cette responsabilité ne peut être transférée au délégué par délégation de pouvoir. En effet, cela reviendrait à conférer à ce dernier un pouvoir décisionnel sur la finalité et les moyens du traitement, ce qui serait constitutif d’un conflit d’intérêts.
Quelle protection pour le délégué à la protection des données ?
Le délégué doit agir d’une manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses missions. Le règlement prévoit ainsi que le délégué ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
Les sanctions ne sont pas possibles si elles sont imposées en raison de l’exercice par le délégué de sa fonction. À titre d’exemple, si un délégué estime qu’un traitement est susceptible d’engendrer un risque élevé et conseille au responsable de traitement de procéder à une analyse d’impact, et si le responsable de traitement n’est pas d’accord avec l’analyse du délégué, ce dernier ne peut être relevé de sa fonction pour avoir formulé ce conseil.
Les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres employés. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le délégué pour des motifs liés à ses activités en tant que délégué.
À noter toutefois que le délégué n’est pas un salarié protégé au sens du Code du travail français. Dès lors, il peut être mis fin aux fonctions du délégué pour des raisons relevant de la législation du travail (exemples : vol, harcèlement, autre faute grave).
Où le délégué doit-il être localisé ?
Afin de remplir l'exigence d'accessibilité, il est recommandé qu’il soit localisé dans un État membre de l’Union européenne.
Toutefois, dans certaines situations où l’organisme n’a pas d’établissement dans l’Union européenne, un délégué peut être en mesure d’exercer ses missions plus efficacement s’il est localisé en dehors de l’Union européenne.
Que signifie coopérer avec l’autorité de contrôle et être le point de contact avec celle-ci ?
L’une des missions du délégué est d’être le point de contact pour l’autorité de protection des données et de coopérer avec elle. À ce titre, le délégué doit faciliter l’accès par l’autorité aux documents et informations de l’organisme dans le cadre de l’exercice des missions et des pouvoirs de cette autorité (par exemple lors d’échanges dans l’instruction d’une plainte, ou en cas besoin de précisions sur un projet en cours ou bien encore dans le cadre d’un contrôle de l’autorité).
L’obligation de confidentialité ou de secret professionnel du délégué ne doit pas l’empêcher ni de répondre aux demandes de l’autorité, ni de demander conseil à cette dernière, si nécessaire.
Comment organiser la prise de fonction du délégué à la protection des données ?
En vue de la préparation au métier de délégué, il est recommandé de :
- lui assurer une formation lui permettant de disposer des compétences requises par l’article 37.4 du RGPD ;
- s’approprier les obligations imposées par la règlementation relative à la protection des données, en s’appuyant notamment sur les différentes lignes directrices du CEPD (portabilité, autorité chef de file, analyse d’impact, etc.) ;
- confier au DPO les missions suivantes :
- réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
- évaluer ses pratiques et mettre en place des procédures (audits, privacy by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
- identifier les risques associés aux opérations de traitement ;
- établir une politique de protection des données personnelles ;
- sensibiliser les opérationnels et la direction sur les nouvelles obligations.
La CNIL met également à la disposition des DPO et des organismes (responsables de traitement et sous-traitants) un certain nombre d’outils pour les accompagner dans leur démarche de mise en conformité.
En outre, elle organise des journées d'information et des ateliers sur le RGPD, à destination des délégués et de tout professionnel en charge de la protection des données au sein de son organisme. Enfin, le MOOC, composé de différents modules, permet aux professionnels de se former.