Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le point sur la nouvelle qualité de DPO par Maître Muriel Assuline, avocate

janvier 2017 par Maître Muriel Assuline, avocate

Le nouveau règlement européen sur la protection des données personnelles qui entrera en vigueur le 25 mai 2018 impose dès cette date la désignation au sein de l’entreprise d’un délégué à la protection des données personnelles, dit DPO (Data Protection Officer). Les entreprises ont donc deux ans pour anticiper ce nouveau règlement.

En effet, l’article 37(1) du règlement dispose que tous les responsables de traitement et sous-traitants devront obligatoirement désigner un DPO « s’ils appartiennent au secteur public, si leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle et si leur activité principale les amène à traiter (toujours à grande échelle) des données dites ‘sensibles’ ou relatives à des condamnations ». Il y a donc bien une obligation de désignation d’un DPO pour ces secteurs d’activité au sein des entreprises.

Selon la CNIL, le délégué à la protection des données personnelles sera chargé :
- « d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés » ;
- « de contrôler le respect du règlement et du droit national en matière de protection des données » ;
- « de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA ou EIVP) et d’en vérifier l’exécution » ;
- « de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci ». Il sera donc « un acteur clé du nouveau système de gouvernance des données ».

Toutefois, cette nouvelle fonction suscitant de nombreuses interrogations, la CNIL a adopté le 13 décembre 2016 des lignes directrices intitulées « Article 29 Data Protection Working Party » (WP29) afin de donner plus d’explications.

La désignation du DPO

Un DPO peut être désigné pour plusieurs autorités ou organismes publics en tenant compte de leur structure organisationnelle et de leur taille.

Le DPO est désigné sur la base de « ses qualités professionnelles » et de sa « capacité à accomplir ses missions ». Il doit donc posséder des « connaissances spécialisées de la législation et des pratiques en matière de protection des données ». C’est pourquoi les établissements doivent s’assurer d’une formation adéquate et régulière des DPO.

La formation du DPO doit également se faire en amont, soit avant 2018. Le futur DPO doit se former pour maîtriser à la fois le Règlement européen mais aussi tous les aspects pratiques liés au Règlement.

Ainsi, de nombreuses organisations professionnelles se sont mobilisées pour proposer des formations de DPO. C’est le cas notamment de ActeCIL ou encore l’Association Française des correspondants à la protection des données à caractère personnel (AFCDP), l’Association des Data Protection Officers (ADPO) et la Confederation of European Data Protection Organisations (CEDPO).

Les personnes désignées en tant que CIL ont vocation à devenir délégués à la protection des données en 2018 mais pour cela, les organismes ayant désigné un CIL devront indiquer à la CNIL en 2018 si leur CIL deviendra délégué à la protection des données ou non.

La place du DPO dans l’organisation qui l’a désignée

Chaque établissement doit pouvoir facilement contacter le DPO. C’est pourquoi l’article 37(2) du règlement évoque l’idée d’un délégué « facilement accessible ». Cela implique que le DPO puisse facilement communiquer sur les sujets liés aux données et coopérer avec les autorités de surveillance concernées. L’article 37(7) du règlement impose alors que soient publiés les contacts du DPO et que soient communiqués les contacts de l’autorité de surveillance en question.

Pour permettre une meilleure gouvernance des données, le DPO doit être considéré comme un partenaire et faire parti des groupes de travail qui traitent des activités de traitement de données au sein de l’organisation. Le WP29 donne alors des exemples permettant d’intégrer le DPO : régulièrement l’inviter à participer à des réunions de cadres supérieurs et intermédiaires, faire en sorte qu’il soit présent lorsque des décisions concernant la protection des données sont prises etc.

L’indépendance nécessaire du DPO

Le DPO doit s’acquitter de ses devoirs et de ses tâches de manière totalement indépendante.

Il est également protégé dans sa fonction même de DPO car selon l’article 38(3) du règlement, le DPO ne peut être responsable dans l’exécution de ses tâches tenant à la protection des données.

L’article 38(6) autorise le DPO à accomplir « d’autres tâches et devoirs ». Cela signifie que le délégué peut très bien avoir d’autres fonctions que celle de DPO. Toutefois, le WP29 précise que l’organisation doit veiller à ce que ces « autres tâches et devoirs » ne génère aucun conflit d’intérêt. C’est le cas évidemment lorsque le DPO supervise ses propres activités. C’est pourquoi le WP29 tient à mettre en avant la nécessité pour le DPO d’agir de manière indépendante par rapport à l’organisation qui l’a désignée. Il ne pourra donc pas occuper un poste au sein de cette organisation qui conduirait à déterminer les finalités et les moyens de traitement des données à caractère personnel.

Conséquences de cette nouvelle fonction

Même si le délégué pourra exercer d’autres fonctions, la fonction même de DPO s’avère être un métier à part. En effet, qui dit métier à part, dit des connaissances et une expertise à part, dans le domaine de la protection des données personnelles. Son rôle sera déterminant pour les entreprises concernées.

Selon une étude de l’IAPP (International Association of Privacy Professionals), 75.000 DPO devront être nommés dans le monde, dont au moins 28.000 en Europe et aux États-Unis.

Les entreprises doivent dès à présent se mettre en conformité avec cette obligation afin que le futur DPO soit dès 2018 un véritable expert de la protection des données personnelles.




Voir les articles précédents

    

Voir les articles suivants