Le DPO est-il obligatoire pour votre entreprise ?

Avant même le 25 mai 2018, date de son entrée en application, l’ombre du Règlement Général sur la Protection des Données (RGPD) planait sur les administrations et entreprises avec de lourdes sanctions administratives à la clé en cas de non-conformité : les amendes peuvent ainsi atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé (c’est à dire du chiffre d’affaires du groupe de sociétés concernées lorsqu’il s’agit d’un groupe). Les sentences en question peuvent par ailleurs être rendues publiques, ce qui est toujours délicat pour l’image des acteurs visés.  Certaines infractions donnent également lieu à des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.

Si la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est avérée un temps clémente le temps que tous les organismes se mettent en conformité, ce n’est à présent plus le cas, les contrôles diligentés étant de plus en plus fréquents. L’occasion de refaire un bilan à date des obligations prévues dans le RGPD tout en se focalisant sur son représentant attitré, à savoir le Data Protection Officer (DPO), aussi appelé Délégué à la Protection des Données (DPD) puis de se pencher sur la question qui brûle souvent toutes les lèvres : ce DPO est-il obligatoire ?

Maître Julien Smadja, avocat spécialisé en droit des nouvelles technologies décrypte le sujet pour vous. 

1/ Rappel : quels sont les objectifs du RGPD ?

Avant toute chose, il conviendra de rappeler de quoi il retourne lorsque nous parlons du RGPD et des données à caractère personnel. Si le RGPD a vu le jour et est devenu le fer de lance de son domaine c’est bien parce que sa vocation est ambitieuse : harmoniser les règles de protection des données personnelles au sein des Etats membres de l’Union Européenne en proposant un cadre commun, tout en replaçant un certain pouvoir d’action entre les mains des personnes physiques au centre du traitement desdites données. Alors que les termes « données à caractère personnel » se banalisent de plus en plus depuis trois ans (il n’est pas rare que les consommateurs reçoivent des mails à ce sujet, de la part des sites auxquels ils sont abonnés), ils englobent pourtant des éléments bien précis.

Une donnée personnelle est ainsi définie par l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut donc être identifiée directement (par exemple via ses nom et prénom) ou indirectement (par le biais d’identifiants quelconques, tels qu’un numéro de téléphone ou une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image). Une seule donnée peut suffire à l’identification d’une personne physique (tel sera le cas d’un numéro de sécurité sociale) mais un croisement de données peut amener à la même finalité  (faisceau d’indices mélangeant par exemple les indications d’une personne relatives à son adresse, sa date de naissance, et la pratique d’activités particulières).

Le RGPD est indissociable de la notion de traitement puisque ce sont justement ces traitements de données qui sont rigoureusement encadrés par le texte. Le traitement d’une donnée personnelle est ainsi une opération ou un ensemble d’opérations portant sur des données personnelles ; tel sera le cas d’une collecte de données, de leur conservation, de leur modification, de leur utilisation, de leur communication etc. En France c’est la CNIL qui contrôle la bonne application des obligations en veillant à responsabiliser les organismes qui ne joueraient pas le jeu.

2/ Qu’est-ce que la fonction de DPO ?

Avant que le RGPD ne rentre en application et ne consacre la fonction de DPO, interlocuteur privilégié au centre de ce dispositif, l’état du domaine n’était pas en reste. C’est ainsi que la notion de Correspondant Informatique et Libertés (CIL) rappellera des souvenirs (pas si lointains) à certains. Créé par décret, le CIL avait vocation à réguler les modalités de la loi informatique et libertés ; cette dernière existe d’ailleurs toujours et prévoit notamment les dispositions relatives aux marges de manœuvres nationales autorisées par le RGPD. Croire que le DPO ne serait pourtant que la nouvelle dénomination du CIL serait une erreur tant les responsabilités du DPO se révèlent accrues par rapport à son « ancêtre ». Contrairement au DPO, le CIL n’était par ailleurs pas obligatoire.

L’article 37 du RGPD est très clair sur le profil attendu d’un DPO : « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ». S’il peut sembler logique et naturel qu’un CIL (ou autre profil) devienne DPO, il n’en reste pas moins qu’il devra impérativement être formé pour assumer sa nouvelle mission, beaucoup plus dense que la première. Aucune formation en particulier n’est obligatoire quant à son contenu mais le DPO devra nécessairement acquérir l’expertise nécessaire à la protection des données et donc maîtriser le contenu du RGPD tout en cultivant régulièrement ce savoir. Une bonne connaissance des textes nationaux et européens est attendue afin de sensibiliser ses interlocuteurs, et le niveau d’expertise devra être adapté à l’activité de l’organisme et à la complexité des traitements mis en œuvre.

3/ Le DPO est-il obligatoire ?

La désignation d’un DPO est obligatoire dans les cas suivants :

• lorsqu’il s’agit d’un organisme public ;
• dans le cas d’une entreprise dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions. Ces critères sont à interpréter de façon assez large et amènent, afin de pouvoir situer son organisme, à établir un bilan restituant le nombre de personnes concernées par des traitements de données à caractère personnel, le volume et le type de données concernées, l’ampleur de leur traitement (leur durée par exemple) ainsi que la situation géographique dans laquelle ont lieu ces actions.

La CNIL préconise néanmoins fortement de désigner une personne chargée de s’assurer de la mise en conformité au RGPD, y compris si un organisme n’est pas formellement dans l’obligation de désigner un DPO. A bon entendeur.

4/ Quel est le rôle concret du DPO ?

Tandis que bon nombre de formations donnant lieu à une certification fleurissent ainsi que de nouvelles appétences, y compris au sein de cursus universitaires, laissant présager dans le futur un essor particulier de profils calibrés pour assurer cette récente mission de DPO, revenons à ce qui est concrètement attendu d’un tel chef d’orchestre des données personnelles.

Comme vous l’aurez compris le DPO est chargé de la conformité en matière de protection des données au sein de son organisme (Article 39 du RGPD que nous évoquions préalablement), ce qui passe par :

• informer et conseiller le responsable de traitement (c’est à dire la personne morale qui détermine les finalités et les moyens de traitement des données, en résumé l’objectif et la façon d’y arriver) ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ;
• contrôler le respect du règlement et du droit national en matière de protection des données ;
• conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et en vérifier l’exécution ;
• coopérer avec l’autorité de contrôle (la CNIL en l’occurrence) et en être le point de contact ;

Comme le rappelle la CNIL, le DPO devra notamment s’informer sur le contenu des nouvelles obligations, sensibiliser les décideurs de son organisme sur l’impact desdites nouveautés, réaliser un inventaire détaillé des traitements de données de son organisme ; prévoir des actions de sensibilisation (il semble que les E-learning rencontrent un certain succès) et piloter la conformité en continu.

Le travail de DPO se fait en effet sur le long terme, le but étant de rester en conformité au fil de l’eau et non pas de délaisser le sujet pour y revenir et y acter une mise à jour ponctuelle.

5/ Quels sont les risques en l’absence de DPO ?

Outre les aspects liés aux sanctions que nous avons citées préalablement, le risque concret en l’absence de DPO est de ne pas être en mesure de prévenir des violations de données et de ne pas savoir réagir de manière appropriée si une telle violation venait à se produire. Car c’est bien là le cœur de la fonction du DPO : répertorier l’ensemble des traitements de données personnelles ayant cours au sein de son organisme (en tenant des registres de traitement) et mettre en place des procédures globales (en définissant des durées de conservation de données, en fixant des mesures de sécurité adéquates, en encadrant les transferts qui pourraient avoir lieu dans des pays extérieurs à l’Union européenne etc.) afin d’éviter au mieux une violation desdites données. Au-delà des aspects purement pécuniaires, c’est bien de l’image de son organisme et de la perception de sa fiabilité par ses interlocuteurs internes et externes dont il est question, une sanction rendue publique pouvant rapidement jeter l’opprobre sur une activité.

6/ Faut-il choisir un DPO interne ou externe à l’entreprise ?

Ceci étant dit, rien n’oblige un organisme à opter pour un DPO interne. Certes l’avantage d’un tel DPO est qu’il est en théorie le mieux placé pour connaître son entreprise, et que passé les gros chantiers de mise en conformité des premiers mois, ce n’est pas nécessairement une fonction qui lui demandera un temps plein ; il pourra donc vaquer à d’autres missions en parallèle tant que cela n’entraîne aucun conflit d’intérêt. Le DPO ne peut donc pas exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel (impossible par exemple d’être à la fois DPO et Directeur Marketing).

Un DPO externe pourra quant à lui s’avérer d’une aide précieuse en apportant une véritable expertise tout en ayant un regard neuf sur les activités concernées. Très souvent le DPO externe procède à un audit des ressources et process de l’organisme demandeur afin d’estimer au mieux les points d’action prioritaires. Sa position extérieure à l’entreprise en fait également un interlocuteur privilégié, lui permettant parfois de recueillir plus aisément des témoignages ou suggestions tout en lui donnant une stature particulière l’amenant à être plus facilement écouté par les décisionnaires. Il est ainsi de plus en plus fréquent de voir des entreprises faire appel à un avocat afin d’obtenir un avis éclairé sur le cadre existant et les moyens de s’y conformer.

Que votre organisme fasse le choix d’un DPO interne ou externe il est primordial de respecter vos obligations, d’autant plus que si un réel effort semble avoir été fait par les différents acteurs au moment de l’entrée en vigueur du RGPD en 2018, un certain relâchement est à constater, probablement accentué par la pandémie qui a parfois relégué l’aspect des données personnelles au second plan. Un réel paradoxe tandis que la dématérialisation n’a jamais été aussi exacerbée que depuis l’année 2020.

Il est recommandé de vous faire accompagner par un avocat spécialisé afin de vous assurer de la bonne conformité de votre entreprise au RGPD. Au-delà du sujet DPO, ce sont les toutes les règles liées à la protection des données (gestion des cookies, traitement des données, accountability…) qui entrent en jeu.