Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. Le DPO est-il obligatoire pour votre entreprise ?

Le DPO est-il obligatoire pour votre entreprise ?

Philippe Wagner
Écrit par Philippe Wagner Cofondateur de Captain Contrat et diplômé d'HEC Paris

Avant même le 25 mai 2018, date de son entrée en application, l’ombre du Règlement Général sur la Protection des Données (RGPD) planait sur les administrations et entreprises avec de lourdes sanctions administratives à la clé en cas de non-conformité : les amendes peuvent ainsi atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé (c’est à dire du chiffre d’affaires du groupe de sociétés concernées lorsqu’il s’agit d’un groupe). Les sentences en question peuvent par ailleurs être rendues publiques, ce qui est toujours délicat pour l’image des acteurs visés.  Certaines infractions donnent également lieu à des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.

Si la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est avérée un temps clémente le temps que tous les organismes se mettent en conformité, ce n’est à présent plus le cas, les contrôles diligentés étant de plus en plus fréquents. L’occasion de refaire un bilan à date des obligations prévues dans le RGPD tout en se focalisant sur son représentant attitré, à savoir le Data Protection Officer (DPO), aussi appelé Délégué à la Protection des Données (DPD) puis de se pencher sur la question qui brûle souvent toutes les lèvres : ce DPO est-il obligatoire ?

Maître Julien Smadja, avocat spécialisé en droit des nouvelles technologies décrypte le sujet pour vous. 

 

 

1/ Rappel : quels sont les objectifs du RGPD ?

 

Avant toute chose, il conviendra de rappeler de quoi il retourne lorsque nous parlons du RGPD et des données à caractère personnel. Si le RGPD a vu le jour et est devenu le fer de lance de son domaine c’est bien parce que sa vocation est ambitieuse : harmoniser les règles de protection des données personnelles au sein des Etats membres de l’Union Européenne en proposant un cadre commun, tout en replaçant un certain pouvoir d’action entre les mains des personnes physiques au centre du traitement desdites données. Alors que les termes « données à caractère personnel » se banalisent de plus en plus depuis trois ans (il n’est pas rare que les consommateurs reçoivent des mails à ce sujet, de la part des sites auxquels ils sont abonnés), ils englobent pourtant des éléments bien précis.

Une donnée personnelle est ainsi définie par l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut donc être identifiée directement (par exemple via ses nom et prénom) ou indirectement (par le biais d’identifiants quelconques, tels qu’un numéro de téléphone ou une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image). Une seule donnée peut suffire à l’identification d’une personne physique (tel sera le cas d’un numéro de sécurité sociale) mais un croisement de données peut amener à la même finalité  (faisceau d’indices mélangeant par exemple les indications d’une personne relatives à son adresse, sa date de naissance, et la pratique d’activités particulières).

Le RGPD est indissociable de la notion de traitement puisque ce sont justement ces traitements de données qui sont rigoureusement encadrés par le texte. Le traitement d’une donnée personnelle est ainsi une opération ou un ensemble d’opérations portant sur des données personnelles ; tel sera le cas d’une collecte de données, de leur conservation, de leur modification, de leur utilisation, de leur communication etc. En France c’est la CNIL qui contrôle la bonne application des obligations en veillant à responsabiliser les organismes qui ne joueraient pas le jeu.

 

2/ Qu’est-ce que la fonction de DPO ?

 

Avant que le RGPD ne rentre en application et ne consacre la fonction de DPO, interlocuteur privilégié au centre de ce dispositif, l’état du domaine n’était pas en reste. C’est ainsi que la notion de Correspondant Informatique et Libertés (CIL) rappellera des souvenirs (pas si lointains) à certains. Créé par décret, le CIL avait vocation à réguler les modalités de la loi informatique et libertés ; cette dernière existe d’ailleurs toujours et prévoit notamment les dispositions relatives aux marges de manœuvres nationales autorisées par le RGPD. Croire que le DPO ne serait pourtant que la nouvelle dénomination du CIL serait une erreur tant les responsabilités du DPO se révèlent accrues par rapport à son « ancêtre ». Contrairement au DPO, le CIL n’était par ailleurs pas obligatoire.

L’article 37 du RGPD est très clair sur le profil attendu d’un DPO : « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ». S’il peut sembler logique et naturel qu’un CIL (ou autre profil) devienne DPO, il n’en reste pas moins qu’il devra impérativement être formé pour assumer sa nouvelle mission, beaucoup plus dense que la première. Aucune formation en particulier n’est obligatoire quant à son contenu mais le DPO devra nécessairement acquérir l’expertise nécessaire à la protection des données et donc maîtriser le contenu du RGPD tout en cultivant régulièrement ce savoir. Une bonne connaissance des textes nationaux et européens est attendue afin de sensibiliser ses interlocuteurs, et le niveau d’expertise devra être adapté à l’activité de l’organisme et à la complexité des traitements mis en œuvre.

 

3/ Le DPO est-il obligatoire ?

 

La désignation d’un DPO est obligatoire dans les cas suivants :

  • lorsqu’il s’agit d’un organisme public ;
  • dans le cas d’une entreprise dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions. Ces critères sont à interpréter de façon assez large et amènent, afin de pouvoir situer son organisme, à établir un bilan restituant le nombre de personnes concernées par des traitements de données à caractère personnel, le volume et le type de données concernées, l’ampleur de leur traitement (leur durée par exemple) ainsi que la situation géographique dans laquelle ont lieu ces actions.

 

La CNIL préconise néanmoins fortement de désigner une personne chargée de s’assurer de la mise en conformité au RGPD, y compris si un organisme n’est pas formellement dans l’obligation de désigner un DPO. A bon entendeur.

  

4/ Quel est le rôle concret du DPO ?

 

Tandis que bon nombre de formations donnant lieu à une certification fleurissent ainsi que de nouvelles appétences, y compris au sein de cursus universitaires, laissant présager dans le futur un essor particulier de profils calibrés pour assurer cette récente mission de DPO, revenons à ce qui est concrètement attendu d’un tel chef d’orchestre des données personnelles.

Comme vous l’aurez compris le DPO est chargé de la conformité en matière de protection des données au sein de son organisme (Article 39 du RGPD que nous évoquions préalablement), ce qui passe par :

  • informer et conseiller le responsable de traitement (c’est à dire la personne morale qui détermine les finalités et les moyens de traitement des données, en résumé l’objectif et la façon d’y arriver) ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ;
  • contrôler le respect du règlement et du droit national en matière de protection des données ;
  • conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et en vérifier l’exécution ;
  • coopérer avec l’autorité de contrôle (la CNIL en l’occurrence) et en être le point de contact ;

 

Comme le rappelle la CNIL, le DPO devra notamment s’informer sur le contenu des nouvelles obligations, sensibiliser les décideurs de son organisme sur l’impact desdites nouveautés, réaliser un inventaire détaillé des traitements de données de son organisme ; prévoir des actions de sensibilisation (il semble que les E-learning rencontrent un certain succès) et piloter la conformité en continu.

Le travail de DPO se fait en effet sur le long terme, le but étant de rester en conformité au fil de l’eau et non pas de délaisser le sujet pour y revenir et y acter une mise à jour ponctuelle.

 

5/ Quels sont les risques en l’absence de DPO ?

 

Outre les aspects liés aux sanctions que nous avons citées préalablement, le risque concret en l’absence de DPO est de ne pas être en mesure de prévenir des violations de données et de ne pas savoir réagir de manière appropriée si une telle violation venait à se produire. Car c’est bien là le cœur de la fonction du DPO : répertorier l’ensemble des traitements de données personnelles ayant cours au sein de son organisme (en tenant des registres de traitement) et mettre en place des procédures globales (en définissant des durées de conservation de données, en fixant des mesures de sécurité adéquates, en encadrant les transferts qui pourraient avoir lieu dans des pays extérieurs à l’Union européenne etc.) afin d’éviter au mieux une violation desdites données. Au-delà des aspects purement pécuniaires, c’est bien de l’image de son organisme et de la perception de sa fiabilité par ses interlocuteurs internes et externes dont il est question, une sanction rendue publique pouvant rapidement jeter l’opprobre sur une activité.

 

6/ Faut-il choisir un DPO interne ou externe à l’entreprise ?

 

Ceci étant dit, rien n’oblige un organisme à opter pour un DPO interne. Certes l’avantage d’un tel DPO est qu’il est en théorie le mieux placé pour connaître son entreprise, et que passé les gros chantiers de mise en conformité des premiers mois, ce n’est pas nécessairement une fonction qui lui demandera un temps plein ; il pourra donc vaquer à d’autres missions en parallèle tant que cela n’entraîne aucun conflit d’intérêt. Le DPO ne peut donc pas exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel (impossible par exemple d’être à la fois DPO et Directeur Marketing).

Un DPO externe pourra quant à lui s’avérer d’une aide précieuse en apportant une véritable expertise tout en ayant un regard neuf sur les activités concernées. Très souvent le DPO externe procède à un audit des ressources et process de l’organisme demandeur afin d’estimer au mieux les points d’action prioritaires. Sa position extérieure à l’entreprise en fait également un interlocuteur privilégié, lui permettant parfois de recueillir plus aisément des témoignages ou suggestions tout en lui donnant une stature particulière l’amenant à être plus facilement écouté par les décisionnaires. Il est ainsi de plus en plus fréquent de voir des entreprises faire appel à un avocat afin d’obtenir un avis éclairé sur le cadre existant et les moyens de s’y conformer.

Que votre organisme fasse le choix d’un DPO interne ou externe il est primordial de respecter vos obligations, d’autant plus que si un réel effort semble avoir été fait par les différents acteurs au moment de l’entrée en vigueur du RGPD en 2018, un certain relâchement est à constater, probablement accentué par la pandémie qui a parfois relégué l’aspect des données personnelles au second plan. Un réel paradoxe tandis que la dématérialisation n’a jamais été aussi exacerbée que depuis l’année 2020.

Il est recommandé de vous faire accompagner par un avocat spécialisé afin de vous assurer de la bonne conformité de votre entreprise au RGPD. Au-delà du sujet DPO, ce sont les toutes les règles liées à la protection des données (gestion des cookies, traitement des données, accountability…) qui entrent en jeu. 

 

Besoin de conseils juridiques ?
Consulter un avocat spécialisé en RGPD

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

DPO RGPD : quelles sont ses missions ?
4 min
DPO RGPD : quelles sont ses missions ?

Le DPO (Délégué à la protection des données personnelles ou Data Protection Officer) joue un rôle clé dans le cadre du RGPD. Me Benhammou décrypte le sujet

Quelle est l'utilité de nommer un DPO externe ?
5 min
Quelle est l'utilité de nommer un DPO externe ?

Le DPO est obligatoire dans certains cas et recommandé pour les autres. La nomination d'un DPO externe à l'entreprise peut avoir ses avantages.

Délégué à la protection des données (DPO) : quel est son rôle ? (2023)
5 min
Délégué à la protection des données (DPO) : quel est son rôle ? (2023)

Le 25 mai 2018 est entré en vigueur le RGPD (Règlement Général de Protection des Données). Un nouvel acteur a émergé avec ce Règlement : le DPO (Délégué à la Protection des Données). Chargé d'accompagner et contrôler la mise en conformité de l'entité qui le nomme, sa présence est parfois obligatoire.

Formation de DPO : vraiment utile pour être conforme au RGPD ?
2 min
Formation de DPO : vraiment utile pour être conforme au RGPD ?

Le RGPD entrera en vigueur le 25 mai prochain, le temps pour les entreprises de considérer sérieusement les étapes de mise en conformité. La figure de DPO accompagne l'arrivée du RGPD. Obligatoire pour certaines entreprises, les futurs DPO ne disposent que de très peu de formations.

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023
2 min
RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023

Le RGPD est entré en vigueur le 25 mai 2018. Nombre de dirigeants ne maitrisent pas entièrement le périmètre de cette réforme. Ce questionnaire vous permettra d'évaluer votre situation en 2023.

RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?

L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

Accountability RGPD : définition et fonctionnement
5 min
Accountability RGPD : définition et fonctionnement

L'accountability implique deux missions pour le responsable de traitement : la mise en conformité avec le RGPD et sa capacité à justifier cette conformité auprès des autorités.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier