Le petit juriste Site de la revue d'actualité juridique
Depuis le 25 mai 2018, le délégué à la protection des données (DPD ou DPO, en anglais, Data Protection/Privacy Officer) succède au correspondant informatique et libertés (CIL), avec l’entrée en vigueur du règlement général sur la protection des données (RGPD) du 27 avril 2016.
Plus qu’un changement d’appellation, c’est un changement de dimension en France et dans les 27 autres Etats membres de l’Union européenne. « Chef d’orchestre », « clé de voûte », « pierre angulaire », « pilier », le DPD est au cœur de la conformité au RGPD et joue un rôle central dans le nouveau processus d’accountability (principe de responsabilité, RGPD, art. 5, §2).
Du détaché au délégué : un acteur de la conformité devenu incontournable
A l’origine, le CIL était une innovation discrète esquissée par la directive européenne nº 95/46/CE du 24 octobre 1995 : le « détaché à la protection des données », renommé « correspondant » par la loi n °78-17 du 6 janvier 1978, dite « Informatique et libertés ». En moins de 25 ans, le « détaché » devenu « délégué » est passé d’un rôle accessoire à principal dans la protection des données.
Avant l’entrée en vigueur du RGPD le 25 mai 2018, la désignation d’un CIL était facultative en droit français. Depuis, celle d’un DPD est obligatoire dans les trois cas suivants de traitement de données à caractère personnel, prévus par l’article 37, §1 du RGPD :
(En plus de ces trois cas obligatoires, l’article 37, §4 du RGPD laissait la possibilité à la loi nationale de compléter cette liste. Néanmoins, aucun autre cas de nomination du DPD n’a été ajouté en droit français par la loi du 20 juin 2018 relative à la protection des données personnelles.)
« a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle » ;
(Etat, collectivités territoriales, établissements publics, etc.)
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; » (traitements de segmentation comportementale, de lutte contre la fraude ou de surveillance, etc.)
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 » (« données sensibles ») « et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »
Avec un champ d’application si large, ratione materiae et ratione personae, ces trois cas de nomination rendent incontournable le rôle du DPD. En pratique, la désignation d’un CIL était l’exception, celle du DPD est désormais de principe.
« Désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 » du RGPD (RGPD, art. 37, §5), le DPD est une fonction indispensable.
DPD, fonction indispensable à la protection des données personnelles
L’article 38, §1 du RGPD donne pour fonction générale au DPD d’être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. »
Plus spécifiquement, l’article 39, §1 du RGPD dresse la liste suivante des missions, a minima, du DPD :
« a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent, en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres, en matière de protection des données;
b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres, en matière de protection des données, et des règles internes du responsable du traitement ou du sous-traitant, en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
d) coopérer avec l’autorité de contrôle ;
e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet. »
Plus largement, le DPD « tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (RGPD, art. 39, §2).
Alors que le champ d’action du CIL était limité, celui du DPD est si large qu’il le place au cœur de la démarche de conformité et de responsabilisation. L’importance du positionnement du DPD se révèle particulièrement par la sanction d’un manquement à la réglementation du RGPD. Est prévue une amende administrative avec un plafond, soit de 10 000 000 ou 20 000 000 euros, soit de 2% ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (RGPD, art. 83, §4, §5, §6). Le montant le plus élevé est retenu.
Geoffroy Sinègre
POUR EN SAVOIR +
A. Alfer, A. Kashani-Poor, G. Mathias, Le Délégué à la protection des données (DPO) : Clé de voûte de la conformité, Revue Banque, Col. Les essentiels de la banque et de la finance, 5 octobre 2017, 119 p.
Collectif, « Le DPO issu du RGPD », dans la Protection des données personnelles – Se mettre en conformité pour le 25 mai 2018, Editions Législatives, 8 novembre 2017, Partie 2, p. 103-126, 447 p.
