Le délégué à la protection des données, également appelé DPO pour « Data Protection Officer », aparfois même transfiguré en Privacy Officer, est un personnage clé en matière de protection des données à caractère personnel.
Il est assimilé à un chef d’orchestre par la CNIL (Commission Nationale Informatique et Libertés).
Le délégué à la protection des données est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. Il peut être un élément interne de l’entreprise, un salarié ou un intervenant externe, un prestataire de service.
Le Règlement Général sur la Protection des données (RGPD) encadre cette profession en prévoyant sa désignation, ses fonctions et missions. (Chapitre 4)
La désignation d’un individu chargé de la bonne gestion des données personnelles au sein des entreprises n’est pas chose nouvelle. En effet, ce rôle était précédemment celui du Correspondant Informatique et Liberté (le CIL), sous l’empire de la Loi Informatique et Libertési.
Présentation du DPO
Lorsque sa désignation est obligatoire, le DPO est en réalité, le conseiller et l’intermédiaire privilégié du responsable de l’entreprise afin de veiller à la conformité au RGPD. Il sera également l’interlocuteur privilégié pour les questions relatives aux données personnelles, tant internes que celles émanent d’une personne concernée par un traitement effectué par l’organisme ayant désigné le DPO.
Les TPE et PME font désormais de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD.
Les entreprises font de plus en plus de la désignation du DPO une condition essentielle pour assurer le pilotage de la conformité et éviter des sanctions pécuniaires ou des risques réputationnels.
Néanmoins, il est également tout à fait possible de confier la fonction de DPO à un prestataire externe à l’organisme, si la désignation en interne n’est pas envisageable ou possible. Le métier de DPO externe a pris une ampleur certaine, pour devenir de plus en plus populaire en France.
La formation du DPO
En tant qu’acteur majeur de la protection des données, le DPO doit disposer d’un certain niveau d’expertise.
Quel niveau d’expertise ?
Les exigences relatives à la désignation d’un Data protection officer portent sur la base de ses qualités professionnelles et notamment sur ses connaissances juridiques, ses connaissances en matière de protection des données et sa capacité à accomplir des missions.
Certes, aucun diplôme ne lui est demandé et le niveau d’exigence non spécifié, cependant le DPO doit avoir une expertise et une connaissance accrue du RGPD et des lois applicables au niveau national et européen.
Il est dès lors attendu du DPO qu’il ait les qualités suivantes :
- Une expertise sur les lois et pratiques nationales et européennes de protection des données, incluant une connaissance précise du RGPD ;
- Une compréhension fine des opérations de traitement mises en œuvre dans l’entreprise ;
- Une compréhension des technologies de l’information et de la sécurité des données ;
- Une connaissance du secteur d’activité de son organisme ;
- Une capacité à informer et à promouvoir au sujet de la protection des données au sein de l’organisation.
Le choix du DPO désigné devra donc être mûrement réfléchi au regard des problématiques posées en matière de protection des données pouvant se poser. De plus, l’organisme devra, au moment de faire son choix, évaluer le profil du DPO selon le contexte organisationnel et budgétaire. En effet, les DPO disposent parfois eux-mêmes de « sur-spécialisations », comme une expertise en matière de données de santé et en milieu médical.
Une expertise juridique nécessaire ?
Il ressort des lignes directrices du G29ii que le DPO doit avoir une expertise juridique importante car il devra avoir une compréhension des lois et pratiques nationales et européennes en matière de protection des données.
La pratique a également prouvé qu’il était capital pour un DPO d’avoir une maîtrise du droit civil, pénal et parfois administratif, et une connaissance des juridictions compétentes. En effet, cette expertise juridique permet au DPO de limiter de potentielles erreurs de non-conformité susceptibles de sanctions, et d’optimiser les recours en cas de fuite de données ou d’incidents autres.
Cependant, ces capacités doivent être mises en balance avec une connaissance pratique des systèmes d’informations, des moyens de télécommunication ou d’autres compétences tout aussi nécessaires à l’exercice du métier de DPO.
Un DPO est donc polyvalent, et dispose de compétences transverses dans des domaines complémentaires (juridique, IT, management de projet, etc.).
A l’heure actuelle, assez peu d’entreprises ont désigné un DPO et la plupart des entreprises l’ayant fait ont eu recours à un DPO rattaché à la direction juridique ou à celle de la conformité.
Les missions du DPO
Le DPO doit, sur la base de l’article 38 du RGPD paragraphe 1, être associé de manière appropriée et en temps utile par son organisation à toutes les questions relatives à la protection des données à caractère personnel.
Il n’est pas suffisant d’impliquer le DPO uniquement quand l’autorité de protection des données prend contact avec le responsable de traitement.
Les missions principales du DPO sont les suivantes :
- Informer et conseiller l’organisme au sein duquel il exerce ses fonctions et également les employés de cet organisme ;
- Implémenter la conformité au RGPD dans l’entreprise, avec le soutien des comités de direction et de ses supérieurs ;
- Contrôler le respect du RGPD et du droit national applicable en matière de protection des données personnelles, notamment en ce qui concerne des finalités de traitement.
- Veiller au respect des droits des individus concernés par les traitements ;
- Proposer à son organisme la réalisation d’une analyse d’impact relative à la protection des données lorsque nécessaire ;
- Se rendre disponible pour répondre aux différentes questions des membres de son organisme relatives à la protection des données ;
- Il assure une coopération avec l’autorité de contrôle ;
Le DPO peut aussi, avec la contribution des responsables de traitement et des sous-traitants, tenir le registre des traitements de l’organisme.
Le DPO accompagne son organisme dans sa mise en conformité et ceci passe notamment par :
- Aider l’organisme à cartographier ses traitements ;
- Prioriser les actions à mener concernant la protection des données en fonction du contexte et des risques associés ;
- Organiser les procédures internes visant à gérer les traitements de données personnelles, ;
- Documenter la conformité de l’organisme afin de pouvoir, en cas de contrôle, démontrer sa conformité à la réglementation applicable.
Pour réaliser ses missions, le DPO peut avoir recours à un logiciel RGPD de suivi de la mise en conformité, ce logiciel étant évidemment un simple outil ne pouvant à lui seul justifier de la conformité.
Le DPO : obligatoire ou non ?
Longtemps facultative sous l’empire de la loi de 1978, la désignation d’un DPO devient obligatoire dans un certain nombre de cas. Toutes les entreprises ne sont pas tenues de désigner un délégué à la protection des données au sein de leur structure. Toutefois, cette désignation est vivement conseillée par la CNIL.
La désignation d’un DPO est obligatoire dans ces cas précis prévus par l’article 37 du RGPD :
- Quand le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement (vidéosurveillance, géolocalisation, traitement des échanges bancaires…) ;
- Quand les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et des infractions.
Conclusion
Sauf dans certains cas, il n’est pas obligatoire pour une entreprise de désigner un DPO, mais cette pratique est vivement encouragée.
Le métier de DPO ne nécessite pas un diplôme spécifique. Toutefois, avoir une expertise juridique est important, et l’accompagner d’une connaissance fine des réglementations en matière de protection des données personnelles primordial. D’autres compétences sont tout autant mises en valeur par le métier de DPO : connaissances en informatique, techniques de communication, gestion de projet, etc.
Le DPO est chargé de nombreuses missions par l’organisme qui le désigne, qui se regroupent autour du respect du RGPD et de la protection des données personnelles des individus. Il sera le gardien du respect des législations nationales et européennes par le responsable de traitement en le conseillant et en l’informant constamment des évolutions et nouvelles réglementations applicables.
Les désignations de DPO auprès de la CNIL évoluent (de 21 000 en 2019 à 34 440 début 2024iii), ce qui traduit un souci croissant des entreprises de respecter les droits des personnes concernées. De plus, la CNIL et les autorités européennes renforcent leurs contrôles en ciblant chaque année des secteurs variés et à risque.
i Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
ii Lignes directrices du G29 concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016
iii CNIL, Étude 2024 : Évolution de la fonction de Délégué à la Protection des Données