Délégué à la protection des données (DPO) : quel est son rôle ? (2024)

Avant le 25 mai 2018 vous devrez peut-être mettre en conformité vos traitements de données personnelles avec le RGPD [1].

Ce texte complexe, d’application directe dans tous les états membres de l’Union Européenne, a fait l’objet d’un important travail de vulgarisation par le G29 (groupe « Article 29 » des autorités de contrôle européennes) dont fait partie la CNIL, et sera complété, en France, par les dispositions de la future loi sur les données personnelles, qui viendra reformer la loi « informatique et libertés » du 6 janvier 1978.

Le RGPD est fondé sur le principe de responsabilisation (« accountability ») de l’ensemble des acteurs des données personnelles - qu’il s’agisse des responsables du traitement ou des sous-traitants - et le DPO (Data Protection Officer) joue un rôle central dans cette approche.

Si sa désignation n’est pas obligatoire dans tous les cas, elle l’est vivement conseillée.

Le RGPD expliqué en deux minutes

Votre activité, est-elle soumise au RGPD ?

Les entreprises, associations et organismes publics sont soumis au RGPD s’ils traitent des informations permettant d’identifier, directement ou indirectement, des personnes physiques. Mais le RGPD s’applique aussi aux particuliers qui traitent ce type d’informations à des fins autres qu’exclusivement personnelles (par exemple, dans la gestion d’un forum de discussion sur Internet).

Le RGPD s’adresse premièrement aux entités établies sur le territoire de l’Union Européenne, indépendamment du lieu où elles procèdent au traitement des données personnelles. Mais il concerne également les entités qui suivent le comportement de personnes sur le territoire de l’Union Européenne, ou qui offrent des biens ou des services sur ce territoire. 

Quand avez-vous l'obligation de désigner un délégué à protection des données

L'obligation de désigner un DPO concerne :

• les autorités publiques et les organismes publics (à l’exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle),
• les entités dont les activités de base les amènent à réaliser un suivi régulier et systématique à grande échelle des personnes concernées, et
• les entités dont les activités de base les amènent à traiter à grande échelle des catégories particulières de données, notamment liées à l'origine raciale ou ethnique ou aux opinions politiques des personnes concernées, ou relatives à des condamnations pénales et infractions.

Le droit national des états membres de l’UE peut prévoir d’autres cas de désignation obligatoire.

Le G29 a apporté des clarifications terminologiques concernant les facteurs déterminants de la désignation obligatoire.

Ainsi, notamment :

• « les activités de base » excluent les traitements des données personnelles en tant qu’activités auxiliaires du responsable du traitement ou du sous-traitant, mais incluent les traitements de données nécessaires pour atteindre ses objectifs : par exemple, dans le cas d’un hôpital, le traitement des dossiers médicaux des patients est une activité de base parce qu’il est essentiel pour la fourniture des services de soins ;
• « à grande échelle » ne s’entend pas par rapport à un seuil exprimé de manière absolue, mais doit être évalué sur la base de plusieurs sous-critères, notamment le nombre/la proportion de personnes concernées, le volume de données et/ou le spectre des données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique : par exemple, sera considéré à grande échelle le traitement mis en œuvre à des fins de publicité comportementale par un moteur de recherche ou un réseau social.

Chaque entité vérifie l’application des facteurs déterminants à son niveau, ce qui signifie que le responsable du traitement et le(les) sous-traitant(s) intervenant sur un même traitement pourront parfois relever de régimes différents, certains ayant l’obligation de désigner un délégué à la protection des données alors que les autres non.

A noter que, dans les cas où il ne ressort pas à l’évidence du type de traitement que vous mettez en œuvre que vous n’aviez pas l’obligation de désigner un DPO, et que vous n’en désignez pas un, il vous incombera de prouver que vous avez dûment réalisé (et mis à jour) l’analyse du traitement sur la base des facteurs déterminants.

Quel est le rôle du Délégué à la Protection des Données ?

Le DPO a tout d’abord un rôle d’accompagnement de l’entité qui le désigne, qu’il conseille concernant ses obligations par rapport à tous les traitements de données personnelles qu’elle met en œuvre, qu’il sensibilise aux enjeux de la réglementation applicable et qu’il informe de tout changement intervenu.

Il conseille l’entité, à sa demande, lors de la réalisation des analyses d’impact.

Il a ensuite un rôle de contrôle du respect par celle-ci de la réglementation applicable, même si, comme nous le verrons plus loin, il n’est pas responsable en cas de non-respect.

Enfin, il est le point de contact et de coopération de l’entité avec l'autorité de contrôle (en France, la CNIL).

Désigner un DPO en dehors de toute obligation légale ?

En raison de ses missions et de ses compétences imposées par le RGPD, le DPO apporte une expertise professionnelle utile pour toute entité et le G29 encourage sa désignation sur une base volontaire.

Les DPO désignés sur une base volontaire obéissent aux mêmes règles en matière de compétences, de fonction et de missions que ceux désignés en vertu d’une obligation légale.

Comment choisir votre DPO ?

Le délégué à la protection des données est un correspondant informatique et libertés (CIL) amélioré, aussi bien au niveau des attributions, que des exigences en termes de compétences professionnelles.

S’il n’existe toujours pas un profil type du DPO (en 2015, près de la moitié des CIL avaient un profil technique, la 2^ème et la 3^ème place revenant aux profils juridique et administratif), le RGPD exige de sa part des connaissances spécialisées du droit et des pratiques en matière de protection des données. Son niveau d’expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées.

Compte tenu de ces précisions, vous pourrez désigner en tant que DPO un salarié ou un prestataire de services. Pour les salariés, il faudra veiller à accorder au DPO la possibilité effective de remplir ses missions, notamment en garantissant son indépendance et son accès à la formation professionnelle.

Le recours à un DPO avocat peut avoir un intérêt dans la mesure où, en dehors des connaissances juridiques nécessaires, il est soumis à des règles déontologiques strictes en matière de secret professionnel et de conflits d’intérêts [2] et son assurance de responsabilité civile professionnelle s’étend à ses prestations fournies en tant que DPO.

Pour remplir de manière efficace ses missions, le G29 recommande que le DPO se trouve dans l’Union Européenne, même si d’autres hypothèses restent envisageables.

Le DPO peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Comment travailler avec un Délégué à la PrOtection des données ?

Le DPO doit être impliqué de manière appropriée et en temps utile à toutes les questions relatives à la protection des données. Il doit ainsi bénéficier de votre soutien. Vous devrez donc, en particulier :

• lui faciliter l’accès aux données et aux opérations de traitement,
• lui fournir les ressources nécessaires à la réalisation de ses tâches (formation DPO, temps nécessaire, ressources financières, équipe), et
• lui permettre d’agir de manière indépendante et veiller à l’absence de conflit d’intérêts (dans le cas d’un DPO salarié : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions).
  
  

Quelle est la responsabilité du DPO ?

En règle générale, le DPO n’est pas responsable en cas de traitement de données personnelles non conforme à la réglementation applicable. Le RGPD établit clairement que c’est le responsable du traitement ou le sous-traitant (donc, votre entreprise) qui sera tenu de s’assurer, et d'être en mesure de démontrer, que le traitement est effectué conformément à ses dispositions, sans possibilité de transférer cette responsabilité au DPO, notamment par le biais d’une délégation de pouvoir.

Toutefois, la responsabilité pénale d’un DPO pourrait être retenue s’il enfreignait intentionnellement les dispositions pénales de la législation sur les données personnelles, ou s’il était complice et qu’il aidait le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales. 

Pour aller plus loin :

CNIL : Page dédiée au DPO : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

G29 : Lignes directrices concernant les délégués à la protection des données (DPD) : https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf

[1] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] L’article 6.3.3 (Délégué à la Protection des Données) du Règlement Intérieur National des avocats et du Règlement du Barreau de Paris dispose, à compter du 25 mai 2018 :

"L'avocat Délégué à la Protection des Données doit mettre un terme à sa mission s'il estime ne pas pouvoir l'exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client.

L'avocat Délégué à la Protection des Données doit refuser de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de correspondant à la protection des données à caractère personnel (CIL) ou de Délégué à la Protection des Données dans le cadre de procédures administratives ou judiciaires mettant en cause le responsable des traitements".