Par Gérard Haas, Avocat à la Cour - le 21 novembre 2016
Par Gérard HAAS et Stéphane ASTIER
Le Délégué à la Protection des Données (DPO) est une nouvelle fonction introduite par le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.
Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d'autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l'organisation des entreprises comme des entités publiques.
Disposant de fonctions distinctes de celles de la Direction des Systèmes d'Information (DSI) ou du Responsable de la Sécurité des Systèmes d'Information (RSSI), le DPO doit en outre justifier d'une expertise particulière qui pose plusieurs questions :
Quelles sont les enjeux de cette nouvelle fonction ? Quelles sont les missions du DPO ? Qui désigner en tant que DPO ?1/ Enjeux de la fonction de DPO
Les enjeux de la fonction de DPO sont naturellement liés aux nouvelles règles portées par le Règlement Européen. Ces règles ont en effet vocation à définir un nouveau cadre pour la protection des données ; un cadre destiné à renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques ( profilage, big data[1], intelligence artificielle, objets connectés, cloud computing etc.).
La désignation d'un DPO s'inscrit ainsi dans une démarche globale qu'il est possible d'analyser au regard des trois grands principes suivants :
- Accountability: désigne pour la CNIL " l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données "[2]. Le DPO a vocation à s'assurer du respect de cette obligation et de piloter la mise en œuvre de l'ensemble des process dédiés à la conformité juridique des traitements. Cette mise en conformité est en outre générale. Elle prend avec le Règlement Européen une dimension particulière de type prospectif dès lors qu'elle est associée aux deux principes complémentaires suivants :
- Privacy by design : en application de ce deuxième principe général, responsables de traitement et sous-traitants doivent appréhender la problématique des données personnelles dès la conception d'un projet impliquant des données à caractère personnel. Cela supposera donc d'associer le DPO aux stratégies de développement, qu'il s'agisse par exemple du projet de lancement d'un objet connecté de contrôle de l'alimentation, d'un logiciel de gestion de fichiers clients (CRM), ou encore d'une campagne e-marketing utilisant des outils de profilage...
- Privacy by default: suivant l'engagement de Privacy by default, chaque acteur devra veiller à limiter les traitements de données, par défaut, à ce qui est strictement nécessaire. Lorsqu'il contrôlera le paramétrage de telle ou telle application ou encore, lorsque telle ou telle opération marketing sera envisagée par l'organisme qui l'aura désigné, le DPO aura en charge de vérifier que la quantité de données collectées, la durée de conservation ou encore le nombre de personnes habilitées à accéder aux données sont strictement limités aux finalités des traitements envisagés.
L'enseignement à tirer de ces grands principes est que la désignation des DPO concernera aussi bien les responsables de traitements que les fournisseurs de solutions permettant de réaliser lesdits traitements. Il s'agit là d'un des points clés du Règlement Européen qui s'attache à favoriser un système de responsabilisation des acteurs sur toute la chaîne de service tout en renforçant les droits des personnes visées (Cf. information élargie, recueil du consentement consolidé etc.).
Le DPO participe directement à cette logique de responsabilisation et de renforcement des droits des personnes. Les différentes missions qui lui sont confiées vont d'ailleurs clairement en ce sens.
2/ Les Missions du DPO
Les missions du DPO sont fixées à l'article 39 du Règlement Européen. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (...) en matière de protection des données
- contrôler le respect du (...) droit (...)en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35
- coopérer avec l'autorité de contrôle ;
- faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet
- Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement
Concrètement, le DPO doit ainsi être placé au cœur du système et être associé par le responsable de traitement et le sous-traitant à chaque opération, chaque projet susceptible d'impacter la vie privée des personnes et la protection de leurs données.
Ses pouvoirs sont étendus par rapport au Correspondant Informatique et libertés (CIL) dans la mesure où ils dépassent le seul rôle consultatif. Le texte est en effet clair sur ce point : le DPO veille au respect du droit de la protection des données, il doit donc s'assurer de la conformité juridique des traitements au-delà du simple conseil et de la simple consultation. Il en résulte une conséquence immédiate : une telle fonction impliquera de facto des compétences particulières et un choix parfois cornélien entre externalisation et désignation interne.
- Qui désigner en tant que DPO ?
Les articles 37 et 38 du Règlement Européen permettent de répondre à cette question :
- " Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.
- Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.
- Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions
- Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts "
Au regard de ces dispositions, constatons que si la logique d'indépendance qui était l'une des bases du statut du CIL perdure, un renforcement drastique des exigences de compétences en matière juridique est ici opéré pour le DPO. Du reste, ce renforcement suit logiquement l'élargissement des missions du DPO avec en premier lieu l'obligation de contrôle de la mise en conformité juridique des traitements.
Or, externaliser cette fonction via un contrat de prestation de service peut apparaître une solution stratégique tant au niveau de la gouvernance interne ( comment en effet assurer l'indépendance d'un membre du personnel pour une fonction aussi sensible ?) qu'au niveau des coûts.
Si des clarifications restent à être apportées sur le caractère obligatoire ou facultatif de la désignation d'un DPO, il est vraisemblable que l'obligation devienne rapidement la règle. En effet, la condition " de suivi régulier et systématique à grande échelle des personnes " prévu par le texte n'est-elle pas de facto remplie pour du profilage mis en œuvre dans le cadre de la gestion d'un CRM ou de campagnes marketing ? De même, le pendant de la suppression des formalités déclaratives à la CNIL et de la mise en place des principes généraux d' Accountability et de Privacy by design n'est-il pas justement une généralisation des DPO ? Nul doute que le législateur français et la CNIL précisent rapidement ces points.
En tout état de cause, il appartient d'ores et déjà aux entreprises et organismes publics de se préparer activement à la mise en œuvre des principes du Règlement dont la violation donnera lieu à d'importantes sanctions à compter de mai 2018 ( amendes administratives pouvant s'élever à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial).
La réalisation d'études d'impact[3] avec tests d'intrusion et la désignation interne ou externe de DPO constituent sans nul doute deux chantiers essentiels à envisager.
Fort d'une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficiant d'une triple labellisation CNIL pour ses prestations d'audit de traitements et de formations, le Cabinet HAAS accompagne ses clients pour la mise en conformité de leurs traitements à la réglementation sur la protection des données. CIL externe de plusieurs sociétés, le Cabinet HAAS propose à ce titre la réalisation d'études d'impact et la souscription de contrats de prestations de service en vue de sa désignation en tant que DPO.
Vous souhaitez en savoir plus sur notre offre de prestation de service dédiée aux études d'impact et au DPO ?[1] http://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/
[3] Cf. http://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/
À propos de l'auteur
Gérard HAAS Avocat à la Cour - Expert en pré-diagnostic INPI - Docteur en Droit - DESS Droit des Affaires et de Fiscalité - Diplôme de Juriste Conseil d'Entreprise - Spécialiste en Droit de la Propriété Intellectuelle - Mandataire OHMI