- L’obligation de désigner un DPO
Le Règlement Européen du 27 avril 2016 relatif aux données personnelles[1] impose la désignation d’un DPO dans trois situations[2]:
- Pour les traitements réalisés par une autorité ou un organisme public ;
- Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle;
- Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.
La deuxième hypothèse de désignation obligatoire d’un délégué à la protection des données semble contraindre un très large panel d’organismes tant le traitement des données personnelles fait aujourd’hui partie intégrante de la vie des entreprises.
Le G29 a publié le 13 décembre 2016 des lignes directrices sur l’interprétation de l’article 37.1 du Règlement[3], tentant ainsi d’apporter quelques précisions.
Sur la notion d’activité de base : pour le G29 l’activité de base doit être entendue comme l’ensemble des opérations clé nécessaires au responsable de traitement et au sous-traitant pour atteindre leurs objectifs. Ainsi, les traitements réalisés dans le cadre des activités auxiliaires (ex. : paie des salariés) ne doivent pas être pris en compte pour déterminer si la désignation d’un DPO est obligatoire.
Sur la notion de suivi systématique et régulier : Le Considérant 24 du Règlement dispose que pour déterminer s’il y a suivi, il convient « d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. »
Ainsi les traitements de profilage et les cookies sont suffisants pour que l’entreprise soit contrainte de désigner un DPO.
Selon le G29, un traitement « régulier » est un traitement à intervalles particuliers ou à des périodes particulières, le suivi intervenant de façon constante ou périodique, tandis qu’un traitement « systématique » implique le suivi intervenant via un système ou selon une organisation, une méthode ou un suivi intervenant dans le cadre d’un plan plus général de collecte de données (ex. : suivi via les applications de bien-être, suivi de la localisation)
Enfin, sur la notion de « grande échelle », il convient de prendre en compte certains indices tels que le nombre d’individus concernés, le volume de données, les différentes catégories de données, la durée ou la permanence du traitement, l’ampleur géographique du traitement (ex. : suivi de l’ensemble des usagers d’un réseau de transports public via les cartes de transports).
Même en dehors de ces cas, le Groupe de travail de l’article 29 recommande la désignation d’un DPO, délégué qui se verra confier l’ensemble des missions nécessaires à la mise en conformité des traitements au Règlement et à la législation nationale.
2. Le profil du DPO
Il n’existe pas de profil type de Délégué à la Protection des Données.
Le Délégué doit être désigné eu égard à ses qualifications (article 37.5 du Règlement) et devra être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.
Attention ! Il ne sera pas possible de désigner comme Délégué à la Protection des Données une personne dont la désignation risquerait de créer une situation de conflit d’intérêt[4].
Par exemple, certaines fonctions ne seront pas compatibles avec la fonction de délégué à la protection des données. Il en va ainsi pour la fonction de secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique. Il en sera également ainsi pour toute personne dont la fonction ou le statut suppose la détermination des finalités et des moyens des traitements.
3. Les missions du DPO
Les missions du DPO sont prévues à l’article 39 du Règlement :
- Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que l’ensemble de leur personnel ;
- Contrôler le respect du Règlement et de la législation nationale ;
- Conseiller l’organisme sur tout sujet relatif à la protection des données à caractère personnel (notamment, sur la pertinence d’une étude d’impact) ;
- Coopérer avec l’autorité de contrôle : cette fonction est très importante, puisque le Délégué devra faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité.
Afin d’assurer l’effectivité de ses missions, des moyens d’action devront être mis à la disposition du DPO par le responsable de traitement.
A ce titre, l’organisme devra s’assurer de l’implication du Délégué dans toutes les questions relatives à la protection des données[5]. L’organisme devra également fournir au Délégué les ressources nécessaires à l’exercice de ses missions (formation, temps nécessaire, ressources financières, équipes), ceci tout en lui permettant d’agir de façon indépendante[6]. Enfin, l’organisme devra faciliter l’accès du Délégué aux données et aux opérations de traitements (ex. : communication avec les autres services, accès facilité).
4. La protection et la responsabilité du Délégué à la Protection des données
Le Règlement, en son article 24.1, dispose que :
« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.”
Sur ce fondement, le Groupe de l’article 29 a pu préciser que le Délégué n’était pas responsable en cas de non-respect du Règlement[7].
En revanche, le Délégué pourra voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales de la Loi informatique et libertés ou s’il se rend complice du responsable de traitement ou du sous-traitant qui enfreindrait ces dispositions.
A noter : s’il devait être sanctionné, le Délégué à la Protection des Données n’est pas un salarié protégé au regard du Code du travail.
Charlotte GALICHET et Cécile KOCZAN
[1] Règlement n°2016-679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Article 37.1 du Règlement
« 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
- a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
- c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.»
[3] Guidelines on Data Protection Officers, §2.1 (Lignes directrices adoptées le 13 décembre 2016 et consolidées le 05 avril 2017)
http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf
[4] Article 38.6 du Règlement
« 6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »
[5] Article 38 du Règlement
[6] Article 38.2 et 3 du Règlement
[7] Guidelines on Data Protection Officer – § 3.4