Quel délégué à la protection des données (DPO) faut-il à votre entité ?

Depuis le 25 mai 2018 – et si ce n’était pas déjà le cas –, responsables de traitements et sous-traitants doivent s’assurer de leur conformité aux règles applicables à la protection des données, dont le Règlement général sur la protection des données (RGPD) [1] .

En fonction de leur niveau de préparation et de prise en compte de la réglementation existante, cette mise en conformité peut impliquer des travaux de grande ampleur comme l’élaboration d’une cartographie des traitements, la sensibilisation du personnel, la mise en place ou la révision des procédures ou encore la mise à jour des contrats, et ce indépendamment du respect des réglementations spécifiques applicables au secteur bancaire et financier.

Un nouvel acteur est introduit par le RGPD pour accompagner la définition et la mise en œuvre des actions de conformité : le délégué à la protection des données, aussi appelé DPO, acronyme de Data Protection Officer. Destiné à être associé « d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel » [2] , le DPO est chargé d’un ensemble de missions qui fait de lui la clef de voûte de la conformité au RGPD. Rappelons que cette désignation est obligatoire pour trois catégories d’entités [3] : les organismes et autorités publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter des catégories particulières de données ou des données relatives à des condamnations pénales et à des infractions.

Le DPO peut être interne, externe mais également mutualisé. Afin d’identifier la forme appropriée, certaines questions sont à analyser préalablement à toute désignation.

I. DPO interne, externe, mutualisé : les différences

Maître de sa gouvernance, un responsable du traitement ou un sous-traitant reste libre – lorsque la désignation d’un DPO n’est pas obligatoire – de choisir d’en désigner un auprès de la Commission nationale de l’informatique et des libertés (Cnil) [4] . En effet, cette désignation peut également être un choix stratégique d’un organisme de renforcer la confiance des personnes dont il traite les données en communiquant les coordonnées du DPO de son entité [5] .

Toute entité qui doit ou souhaite désigner un DPO peut internaliser la fonction, l’externaliser ou la mutualiser. En d’autres termes, à chaque responsable du traitement et à chaque sous-traitant d’évaluer ses besoins et ses moyens, et d’opter pour le type de DPO qui s’adaptera le mieux à son organisme.

Quel que soit le type de DPO retenu, sa désignation doit être entourée de plusieurs garanties visant à s’assurer qu’il sera en mesure d’exercer sa fonction. Soulignons d’ailleurs que ces garanties ne sont pas forcément spécifiques à l’un ou l’autre des types de DPO. En revanche, elles peuvent trouvent une application particulière.

Proximité du DPO interne…

Le DPO est interne lorsque c’est un « membre du personnel du responsable du traitement ou du sous-traitant » [6] . En pareil cas, la fonction sera attribuée à un salarié déjà présent dans l’entité ou intégré à l’entité à la suite d’une création de poste.

Le délégué à la protection des données interne présente un avantage indéniable : sa proximité et son accessibilité. Présent et visible au quotidien dans les locaux de l’organisme, il est connu des opérationnels et des métiers qui peuvent le solliciter autant que de besoin. Il peut aussi, au fil des questions qui lui sont posées, sensibiliser les équipes.

Le délégué à la protection des données interne a également l’avantage de connaître l’organigramme de son entité ou à tout le moins d’y avoir accès, ce qui lui permet d’identifier ses interlocuteurs et les directions impliquées dans les différents traitements. Familier des activités de l’entreprise, il peut détecter plus rapidement les points de questionnement, et comprendre les intérêts en balance dès la conception des traitements.

mais des risques de conflit d’intérêts

Selon la maturité de l’entité sur ce sujet, sa taille, sa stratégie et les arbitrages arrêtés, le délégué à la protection des données interne peut être confronté à des difficultés quant au temps consacré à cette fonction et aux moyens dont il dispose. En effet, bien que la définition de l’organisation et des moyens matériels et humains [7] mis à sa disposition soit libre, toute entité doit être en mesure de justifier que son délégué à la protection des données peut effectivement exercer ses missions. Lorsque le délégué à la protection des données exerce d’autres fonctions dans l’entité, une garantie supplémentaire implique de prendre en compte d’éventuels conflits d’intérêts. C’est la raison pour laquelle les autorités de contrôle européennes ont pu être amenées à identifier des fonctions source de conflits d’intérêts avec celles de délégué à la protection des données [8] . Comme les lignes directrices du G29 le rappellent ainsi que la Cnil, l’existence de potentiels conflits d’intérêts doit être appréciée au cas par cas notamment en estimant si la fonction exercée suppose la détermination des finalités et des moyens de traitements. Néanmoins, à titre d’exemple, les fonctions suivantes peuvent donner lieu à conflits d’intérêts à savoir notamment les fonctions suivantes : directeur général, secrétaire général, directeur financier [9] .

DPO mutualisé : pour une vision globale des procédures

Le règlement général sur la protection des données prévoit une autre option, à savoir la désignation d’un délégué à la protection des données dit mutualisé. Il convient toutefois de préciser que cette désignation suppose le respect de certaines conditions. D’abord, cette option est ouverte par le règlement européen aux groupes d’entreprises [10] ainsi qu’aux autorités publiques ou organismes publics [11] .

S’agissant plus particulièrement des groupes d’entreprises, la désignation d’un délégué à la protection des données unique permet d’éviter de multiplier les désignations. En outre, le délégué à la protection des données peut ainsi disposer d’une vision globale des politiques et procédures définies au niveau du groupe et qui seront ensuite déclinées au niveau local.

Il convient toutefois de porter une attention particulière aux modalités concrètes d’exercice de la fonction. Où est-il basé ? Comment s’assurer qu’il soit joignable facilement depuis tous les lieux d’établissements (notamment en cas de contrôle) ? Comment s’assurer qu’il soit impliqué dans le déploiement de traitements qui n’impliqueraient qu’une entité du groupe ?

En effet, afin que le délégué à la protection des données puisse effectivement remplir ses missions d’accompagnement, d’information, de conseil et de sensibilisation, il est indispensable de veiller à ce qu’il soit « facilement joignable à partir de chaque lieu d'établissement. ». Même si le délégué à la protection des données dispose de relais au niveau local, il doit être en mesure d’accompagner la mise en œuvre des traitements, les actions de conformité et de répondre aux questions éventuelles des personnes concernées. En outre, selon les autorités de contrôle européennes, la proximité du délégué à la protection des données unique implique qu’il soit en mesure de communiquer tant avec les autorités de contrôle compétentes, qu’avec les personnes concernées dans la langue qu’elles utilisent [12] .

DPO externe : une souplesse d’organisation

Troisième et dernière option, le délégué à la protection des données peut être externe à l’organisme et être lié au responsable du traitement ou au sous-traitant par un contrat de prestation de services. Le délégué à la protection des données externe peut avoir l’avantage de la souplesse et permettre à une structure de se mettre en conformité sans mobiliser un salarié à temps plein ou à temps partiel sur cette fonction. Cette souplesse se traduit également dans la possibilité pour l’organisme de changer de prestataire.

En tout état de cause le contrat de service doit faire l’objet d’une rédaction attentive sur de nombreux points : sa durée, les possibilités de le résilier, les obligations mises à la charge du DPO externe, etc. Le contrat pourra également régir les conséquences à donner à la survenance d’un conflit d’intérêts ou d’un risque de conflit d’intérêts en cours d’exercice de la mission.

En revanche, l’accessibilité du délégué à la protection des données ainsi que sa visibilité doivent être organisées. En effet, dans la mesure où le délégué à la protection des données n’est pas dans les locaux, il convient de prévoir les modalités suivant lesquelles il remplit ses missions.

Indépendamment de la question de savoir si la désignation d’un délégué à la protection des données est obligatoire, le choix pour l’un ou l’autre des types identifiés ci-dessous repose notamment sur une analyse de l’environnement de l’entité, de son organisation et de ses besoins.

II. Choix du type de DPO appropriée : les questions à se poser

Pour choisir entre la désignation d’un délégué à la protection des données interne, externe ou mutualisé, il est nécessaire d’avoir une bonne connaissance des besoins de l’organisme. S’agit-il d’un groupe où une centralisation est souhaitée ? En pareil cas, une mutualisation peut être un choix judicieux. En effet, dans de nombreux groupes, la gouvernance et la stratégie seront décidées au sein de la maison mère puis déployées au niveau des filiales.

S’agit-il d’une TPE/PME qui souhaite disposer d’un accompagnement dans la mise en conformité et dont l’activité de traitements ne justifie pas l’embauche d’un nouveau collaborateur ? La désignation d’un délégué à la protection des données interne exerçant sa fonction en sus d’une autre, sous réserve du conflit d’intérêts peut s’envisager. Il en est de même pour la désignation d’un délégué à la protection des données externe. En effet, les traitements de données à caractère personnel mis en œuvre par certaines TPE/PME ne nécessitent pas forcément un temps plein. Il est ainsi parfaitement possible de prévoir l’intervention d’un tiers.

En tout état de cause et quel que soit le type de délégué à la protection des données choisi, il doit satisfaire aux exigences du règlement général sur la protection des données. À ce titre, la personne désignée doit présenter des « […] qualités professionnelles et en particulier, de[s] connaissances spécialisées du droit et des pratiques en matière de protection des données ». Sa capacité à exercer ses missions doit également être évaluée [13] . Suivant le type de délégué à la protection des données, les moyens alloués et les modalités d’accès aux traitements peuvent varier.

Préserver l’indépendance du DPO

Enfin, quel que soit le type d’exercice retenu, l’indépendance du délégué à la protection des données doit être préservée. Cela implique qu’il ne reçoive pas d’instructions et qu’il ne puisse être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions. Lorsqu’il est interne, il convient de veiller à son rattachement, lequel ne doit pas faire obstacle à sa possibilité d’alerter les instances dirigeantes ou tout simplement de les tenir informer des actions de conformité. Lorsqu’il est externe, l’éventuelle désignation d’un ou plusieurs relais internes à l’organisme ne doit pas davantage mettre à mal cette indépendance.

Rappelons également que le DPO n’a pas de responsabilité propre en cas de manquements liés au non-respect de la réglementation et ce, qu’il soit interne, externe ou mutualisé. Le respect de la réglementation relative à la protection des données, à l’instar de toutes autres réglementations, relève du représentant légal de l’entité. Comme la Cnil le rappelle également, « il n’est pas possible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant » [14] .

Pour conclure, la désignation d’un délégué à la protection des données doit s’inscrit dans une gouvernance globale de l’entité et relève du pouvoir des instances dirigeantes [15] .