Quel délégué à la protection des données (DPO) faut-il à votre entité ?

Depuis le 25 mai 2018 &ndash; et si ce n&rsquo;&eacute;tait pas d&eacute;j&agrave; le cas &ndash;, responsables de traitements et sous-traitants doivent s&rsquo;assurer de leur conformit&eacute; aux r&egrave;gles applicables &agrave; la protection des donn&eacute;es, dont le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD) [1] . En fonction de leur niveau de pr&eacute;paration et de prise en compte de la r&eacute;glementation existante, cette mise en conformit&eacute; peut impliquer des travaux de grande ampleur comme l&rsquo;&eacute;laboration d&rsquo;une cartographie des traitements, la sensibilisation du personnel, la mise en place ou la r&eacute;vision des proc&eacute;dures ou encore la mise &agrave; jour des contrats, et ce ind&eacute;pendamment du respect des r&eacute;glementations sp&eacute;cifiques applicables au secteur bancaire et financier. Un nouvel acteur est introduit par le RGPD pour accompagner la d&eacute;finition et la mise en œuvre des actions de conformit&eacute; : le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es, aussi appel&eacute; DPO, acronyme de Data Protection Officer. Destin&eacute; &agrave; &ecirc;tre associ&eacute; &laquo; d&rsquo;une mani&egrave;re appropri&eacute;e et en temps utile &agrave; toutes les questions relatives &agrave; la protection des donn&eacute;es &agrave; caract&egrave;re personnel &raquo; [2] , le DPO est charg&eacute; d&rsquo;un ensemble de missions qui fait de lui la clef de vo&ucirc;te de la conformit&eacute; au RGPD. Rappelons que cette d&eacute;signation est obligatoire pour trois cat&eacute;gories d&rsquo;entit&eacute;s [3] : les organismes et autorit&eacute;s publics, les organismes dont les activit&eacute;s de base les am&egrave;nent &agrave; r&eacute;aliser un suivi r&eacute;gulier et syst&eacute;matique des personnes &agrave; grande &eacute;chelle, les organismes dont les activit&eacute;s de base les am&egrave;nent &agrave; traiter des cat&eacute;gories particuli&egrave;res de donn&eacute;es ou des donn&eacute;es relatives &agrave; des condamnations p&eacute;nales et &agrave; des infractions. Le DPO peut &ecirc;tre interne, externe mais &eacute;galement mutualis&eacute;. Afin d&rsquo;identifier la forme appropri&eacute;e, certaines questions sont &agrave; analyser pr&eacute;alablement &agrave; toute d&eacute;signation. I. DPO interne, externe, mutualis&eacute; : les diff&eacute;rences Ma&icirc;tre de sa gouvernance, un responsable du traitement ou un sous-traitant reste libre &ndash; lorsque la d&eacute;signation d&rsquo;un DPO n&rsquo;est pas obligatoire &ndash; de choisir d&rsquo;en d&eacute;signer un aupr&egrave;s de la Commission nationale de l&rsquo;informatique et des libert&eacute;s (Cnil) [4] . En effet, cette d&eacute;signation peut &eacute;galement &ecirc;tre un choix strat&eacute;gique d&rsquo;un organisme de renforcer la confiance des personnes dont il traite les donn&eacute;es en communiquant les coordonn&eacute;es du DPO de son entit&eacute; [5] . Toute entit&eacute; qui doit ou souhaite d&eacute;signer un DPO peut internaliser la fonction, l&rsquo;externaliser ou la mutualiser. En d&rsquo;autres termes, &agrave; chaque responsable du traitement et &agrave; chaque sous-traitant d&rsquo;&eacute;valuer ses besoins et ses moyens, et d&rsquo;opter pour le type de DPO qui s&rsquo;adaptera le mieux &agrave; son organisme. Quel que soit le type de DPO retenu, sa d&eacute;signation doit &ecirc;tre entour&eacute;e de plusieurs garanties visant &agrave; s&rsquo;assurer qu&rsquo;il sera en mesure d&rsquo;exercer sa fonction. Soulignons d&rsquo;ailleurs que ces garanties ne sont pas forc&eacute;ment sp&eacute;cifiques &agrave; l&rsquo;un ou l&rsquo;autre des types de DPO. En revanche, elles peuvent trouvent une application particuli&egrave;re. Proximit&eacute; du DPO interne&hellip; Le DPO est interne lorsque c&rsquo;est un &laquo; membre du personnel du responsable du traitement ou du sous-traitant &raquo; [6] . En pareil cas, la fonction sera attribu&eacute;e &agrave; un salari&eacute; d&eacute;j&agrave; pr&eacute;sent dans l&rsquo;entit&eacute; ou int&eacute;gr&eacute; &agrave; l&rsquo;entit&eacute; &agrave; la suite d&rsquo;une cr&eacute;ation de poste. Le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es interne pr&eacute;sente un avantage ind&eacute;niable : sa proximit&eacute; et son accessibilit&eacute;. Pr&eacute;sent et visible au quotidien dans les locaux de l&rsquo;organisme, il est connu des op&eacute;rationnels et des m&eacute;tiers qui peuvent le solliciter autant que de besoin. Il peut aussi, au fil des questions qui lui sont pos&eacute;es, sensibiliser les &eacute;quipes. Le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es interne a &eacute;galement l&rsquo;avantage de conna&icirc;tre l&rsquo;organigramme de son entit&eacute; ou &agrave; tout le moins d&rsquo;y avoir acc&egrave;s, ce qui lui permet d&rsquo;identifier ses interlocuteurs et les directions impliqu&eacute;es dans les diff&eacute;rents traitements. Familier des activit&eacute;s de l&rsquo;entreprise, il peut d&eacute;tecter plus rapidement les points de questionnement, et comprendre les int&eacute;r&ecirc;ts en balance d&egrave;s la conception des traitements. mais des risques de conflit d&rsquo;int&eacute;r&ecirc;ts Selon la maturit&eacute; de l&rsquo;entit&eacute; sur ce sujet, sa taille, sa strat&eacute;gie et les arbitrages arr&ecirc;t&eacute;s, le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es interne peut &ecirc;tre confront&eacute; &agrave; des difficult&eacute;s quant au temps consacr&eacute; &agrave; cette fonction et aux moyens dont il dispose. En effet, bien que la d&eacute;finition de l&rsquo;organisation et des moyens mat&eacute;riels et humains [7] mis &agrave; sa disposition soit libre, toute entit&eacute; doit &ecirc;tre en mesure de justifier que son d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es peut effectivement exercer ses missions. Lorsque le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es exerce d&rsquo;autres fonctions dans l&rsquo;entit&eacute;, une garantie suppl&eacute;mentaire implique de prendre en compte d&rsquo;&eacute;ventuels conflits d&rsquo;int&eacute;r&ecirc;ts. C&rsquo;est la raison pour laquelle les autorit&eacute;s de contr&ocirc;le europ&eacute;ennes ont pu &ecirc;tre amen&eacute;es &agrave; identifier des fonctions source de conflits d&rsquo;int&eacute;r&ecirc;ts avec celles de d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es [8] . Comme les lignes directrices du G29 le rappellent ainsi que la Cnil, l&rsquo;existence de potentiels conflits d&rsquo;int&eacute;r&ecirc;ts doit &ecirc;tre appr&eacute;ci&eacute;e au cas par cas notamment en estimant si la fonction exerc&eacute;e suppose la d&eacute;termination des finalit&eacute;s et des moyens de traitements. N&eacute;anmoins, &agrave; titre d&rsquo;exemple, les fonctions suivantes peuvent donner lieu &agrave; conflits d&rsquo;int&eacute;r&ecirc;ts &agrave; savoir notamment les fonctions suivantes : directeur g&eacute;n&eacute;ral, secr&eacute;taire g&eacute;n&eacute;ral, directeur financier [9] . DPO mutualis&eacute; : pour une vision globale des proc&eacute;dures Le r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es pr&eacute;voit une autre option, &agrave; savoir la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es dit mutualis&eacute;. Il convient toutefois de pr&eacute;ciser que cette d&eacute;signation suppose le respect de certaines conditions. D&rsquo;abord, cette option est ouverte par le r&egrave;glement europ&eacute;en aux groupes d&rsquo;entreprises [10] ainsi qu&rsquo;aux autorit&eacute;s publiques ou organismes publics [11] . S&rsquo;agissant plus particuli&egrave;rement des groupes d&rsquo;entreprises, la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es unique permet d&rsquo;&eacute;viter de multiplier les d&eacute;signations. En outre, le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es peut ainsi disposer d&rsquo;une vision globale des politiques et proc&eacute;dures d&eacute;finies au niveau du groupe et qui seront ensuite d&eacute;clin&eacute;es au niveau local. Il convient toutefois de porter une attention particuli&egrave;re aux modalit&eacute;s concr&egrave;tes d&rsquo;exercice de la fonction. O&ugrave; est-il bas&eacute; ? Comment s&rsquo;assurer qu&rsquo;il soit joignable facilement depuis tous les lieux d&rsquo;&eacute;tablissements (notamment en cas de contr&ocirc;le) ? Comment s&rsquo;assurer qu&rsquo;il soit impliqu&eacute; dans le d&eacute;ploiement de traitements qui n&rsquo;impliqueraient qu&rsquo;une entit&eacute; du groupe ? En effet, afin que le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es puisse effectivement remplir ses missions d&rsquo;accompagnement, d&rsquo;information, de conseil et de sensibilisation, il est indispensable de veiller &agrave; ce qu&rsquo;il soit &laquo; facilement joignable &agrave; partir de chaque lieu d'&eacute;tablissement. &raquo;. M&ecirc;me si le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es dispose de relais au niveau local, il doit &ecirc;tre en mesure d&rsquo;accompagner la mise en œuvre des traitements, les actions de conformit&eacute; et de r&eacute;pondre aux questions &eacute;ventuelles des personnes concern&eacute;es. En outre, selon les autorit&eacute;s de contr&ocirc;le europ&eacute;ennes, la proximit&eacute; du d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es unique implique qu&rsquo;il soit en mesure de communiquer tant avec les autorit&eacute;s de contr&ocirc;le comp&eacute;tentes, qu&rsquo;avec les personnes concern&eacute;es dans la langue qu&rsquo;elles utilisent [12] . DPO externe : une souplesse d&rsquo;organisation Troisi&egrave;me et derni&egrave;re option, le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es peut &ecirc;tre externe &agrave; l&rsquo;organisme et &ecirc;tre li&eacute; au responsable du traitement ou au sous-traitant par un contrat de prestation de services. Le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es externe peut avoir l&rsquo;avantage de la souplesse et permettre &agrave; une structure de se mettre en conformit&eacute; sans mobiliser un salari&eacute; &agrave; temps plein ou &agrave; temps partiel sur cette fonction. Cette souplesse se traduit &eacute;galement dans la possibilit&eacute; pour l&rsquo;organisme de changer de prestataire. En tout &eacute;tat de cause le contrat de service doit faire l&rsquo;objet d&rsquo;une r&eacute;daction attentive sur de nombreux points : sa dur&eacute;e, les possibilit&eacute;s de le r&eacute;silier, les obligations mises &agrave; la charge du DPO externe, etc. Le contrat pourra &eacute;galement r&eacute;gir les cons&eacute;quences &agrave; donner &agrave; la survenance d&rsquo;un conflit d&rsquo;int&eacute;r&ecirc;ts ou d&rsquo;un risque de conflit d&rsquo;int&eacute;r&ecirc;ts en cours d&rsquo;exercice de la mission. En revanche, l&rsquo;accessibilit&eacute; du d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es ainsi que sa visibilit&eacute; doivent &ecirc;tre organis&eacute;es. En effet, dans la mesure o&ugrave; le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es n&rsquo;est pas dans les locaux, il convient de pr&eacute;voir les modalit&eacute;s suivant lesquelles il remplit ses missions. Ind&eacute;pendamment de la question de savoir si la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es est obligatoire, le choix pour l&rsquo;un ou l&rsquo;autre des types identifi&eacute;s ci-dessous repose notamment sur une analyse de l&rsquo;environnement de l&rsquo;entit&eacute;, de son organisation et de ses besoins. II. Choix du type de DPO appropri&eacute;e : les questions &agrave; se poser Pour choisir entre la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es interne, externe ou mutualis&eacute;, il est n&eacute;cessaire d&rsquo;avoir une bonne connaissance des besoins de l&rsquo;organisme. S&rsquo;agit-il d&rsquo;un groupe o&ugrave; une centralisation est souhait&eacute;e ? En pareil cas, une mutualisation peut &ecirc;tre un choix judicieux. En effet, dans de nombreux groupes, la gouvernance et la strat&eacute;gie seront d&eacute;cid&eacute;es au sein de la maison m&egrave;re puis d&eacute;ploy&eacute;es au niveau des filiales. S&rsquo;agit-il d&rsquo;une TPE/PME qui souhaite disposer d&rsquo;un accompagnement dans la mise en conformit&eacute; et dont l&rsquo;activit&eacute; de traitements ne justifie pas l&rsquo;embauche d&rsquo;un nouveau collaborateur ? La d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es interne exer&ccedil;ant sa fonction en sus d&rsquo;une autre, sous r&eacute;serve du conflit d&rsquo;int&eacute;r&ecirc;ts peut s&rsquo;envisager. Il en est de m&ecirc;me pour la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es externe. En effet, les traitements de donn&eacute;es &agrave; caract&egrave;re personnel mis en œuvre par certaines TPE/PME ne n&eacute;cessitent pas forc&eacute;ment un temps plein. Il est ainsi parfaitement possible de pr&eacute;voir l&rsquo;intervention d&rsquo;un tiers. En tout &eacute;tat de cause et quel que soit le type de d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es choisi, il doit satisfaire aux exigences du r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es. &Agrave; ce titre, la personne d&eacute;sign&eacute;e doit pr&eacute;senter des &laquo; [&hellip;] qualit&eacute;s professionnelles et en particulier, de[s] connaissances sp&eacute;cialis&eacute;es du droit et des pratiques en mati&egrave;re de protection des donn&eacute;es &raquo;. Sa capacit&eacute; &agrave; exercer ses missions doit &eacute;galement &ecirc;tre &eacute;valu&eacute;e [13] . Suivant le type de d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es, les moyens allou&eacute;s et les modalit&eacute;s d&rsquo;acc&egrave;s aux traitements peuvent varier. Pr&eacute;server l&rsquo;ind&eacute;pendance du DPO Enfin, quel que soit le type d&rsquo;exercice retenu, l&rsquo;ind&eacute;pendance du d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es doit &ecirc;tre pr&eacute;serv&eacute;e. Cela implique qu&rsquo;il ne re&ccedil;oive pas d&rsquo;instructions et qu&rsquo;il ne puisse &ecirc;tre relev&eacute; de ses fonctions ou p&eacute;nalis&eacute; pour l&rsquo;exercice de ses missions. Lorsqu&rsquo;il est interne, il convient de veiller &agrave; son rattachement, lequel ne doit pas faire obstacle &agrave; sa possibilit&eacute; d&rsquo;alerter les instances dirigeantes ou tout simplement de les tenir informer des actions de conformit&eacute;. Lorsqu&rsquo;il est externe, l&rsquo;&eacute;ventuelle d&eacute;signation d&rsquo;un ou plusieurs relais internes &agrave; l&rsquo;organisme ne doit pas davantage mettre &agrave; mal cette ind&eacute;pendance. Rappelons &eacute;galement que le DPO n&rsquo;a pas de responsabilit&eacute; propre en cas de manquements li&eacute;s au non-respect de la r&eacute;glementation et ce, qu&rsquo;il soit interne, externe ou mutualis&eacute;. Le respect de la r&eacute;glementation relative &agrave; la protection des donn&eacute;es, &agrave; l&rsquo;instar de toutes autres r&eacute;glementations, rel&egrave;ve du repr&eacute;sentant l&eacute;gal de l&rsquo;entit&eacute;. Comme la Cnil le rappelle &eacute;galement, &laquo; il n&rsquo;est pas possible de transf&eacute;rer au DPO, par d&eacute;l&eacute;gation de pouvoir, la responsabilit&eacute; incombant au responsable de traitement ou les obligations propres du sous-traitant &raquo; [14] . Pour conclure, la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es doit s&rsquo;inscrit dans une gouvernance globale de l&rsquo;entit&eacute; et rel&egrave;ve du pouvoir des instances dirigeantes [15] . 1 R&egrave;glement (UE) 2016/679 du Parlement europ&eacute;en et du Conseil du 27 avril 2016 relatif &agrave; la protection des personnes physiques &agrave; l'&eacute;gard du traitement des donn&eacute;es &agrave; caract&egrave;re personnel et &agrave; la libre circulation de ces donn&eacute;es, et abrogeant la directive 95/46/CE (r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es) (Texte pr&eacute;sentant de l'int&eacute;r&ecirc;t pour l'EEE). 2 Article 38.1 du RGPD. 3 Article 37.1 du RGPD. 4 Cnil, Article &laquo; D&eacute;signer un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es (DPO) &raquo; &agrave; l&rsquo;adresse URL : &laquo; https://www.cnil.fr/fr/designation-dpo &raquo;. 5 Articles 13 et 14 du RGPD. 6 Article 37.6 du RGPD. 7 Staff, relais internes, accompagnement externe, formation, workflow, etc. 8 G29, Lignes directrices concernant les d&eacute;l&eacute;gu&eacute;s &agrave; la protection des donn&eacute;es (DPD), Version r&eacute;vis&eacute;e et adopt&eacute;e le 5 avril 2017. 9 Cnil, Article du 23 mai 2017 &laquo; Devenir d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es &raquo; accessible &agrave; l&rsquo;adresse URL : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees 10 &laquo; Une entreprise qui exerce le contr&ocirc;le et les entreprises qu'elle contr&ocirc;le &raquo;, Article 4,19 du RGPD. Etant pr&eacute;cis&eacute; que cette d&eacute;finition est &agrave; rapprocher des articles L. 233-1 &agrave; L. 233-3 du Code de commerce. 11 Articles 37.2. et 37.3 du RGPD. 12 G29, Lignes directrices concernant les d&eacute;l&eacute;gu&eacute;s &agrave; la protection des donn&eacute;es (DPD), Version r&eacute;vis&eacute;e et adopt&eacute;e le 5 avril 2017, p. 12. 13 Article 37.5 du RGPD. 14 Cnil, article du 23 mai &laquo; Devenir d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es &raquo; accessible &agrave; l&rsquo;adresse URL : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees. 15 Pour poursuivre cette analyse, nous renvoyons &agrave; notre ouvrage &laquo; Le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es (DPO) &ndash; clef de vo&ucirc;te de la conformit&eacute; &raquo;, RB Edition.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Mise en conformité au RGPD

Quel délégué à la protection des données (DPO) faut-il à votre entité ?

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Mise en conformité au RGPD

Quel délégué à la protection des données (DPO) faut-il à votre entité ?

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »