Zoom sur la fonction de DPO


Dans des conditions spécifiques, le règlement général sur la protection des données (RGPD) exige que le responsable du traitement nomme un délégué à la protection des données (DPO : Data Protection Officer). 

Quelles entreprises ont besoin de délégués à la protection des données ?

Le RGPD a été mis en place par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer la protection des données des citoyens de l’Union européenne. Il demande la nomination obligatoire d’un DPO dans chaque organisation qui traite ou stocke des données personnelles des citoyens de l’UE. Les DPO doivent être « nommés pour toutes les autorités publiques et lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent « un contrôle régulier et systématique des personnes concernées à grande échelle » ou lorsque l’entité effectue un traitement à grande échelle de « catégories spéciales de données à caractère personnel », telles que la race, l’origine ethnique ou les convictions religieuses.

En filigrane, on comprend que le RGPD indique que ce n’est pas la taille d’une organisation qui rend nécessaire le recours à un DPO, mais plutôt la taille et l’étendue du traitement des données. Malheureusement, le RGPD ne définit pas spécifiquement ce qu’il considère comme un traitement des données à « grande échelle ». Cependant, les autorités gouvernementales utilisent quatre facteurs clés pour déterminer si un DPO est nécessaire :

  • Les personnes concernées
  • Éléments de données
  • Durée de conservation des données
  • Portée géographique du traitement

Compétences et tâches du délégué à la protection des données

Selon le texte du RGPD, tel qu’il est publié au Journal officiel de l’Union européenne, le délégué à la protection des données doit :

  • Avoir une connaissance approfondie de la protection des données, tant du point de vue juridique que pratique, y compris, bien entendu du RGPD
  • Aider le responsable de traitement des données ou le sous-traitant en contrôlant le respect interne du RGPD (le responsable du traitement des données et le sous-traitant doivent également aider le délégué à la protection des données dans l’exercice de ses fonctions).
  • Etre en mesure de remplir ses fonctions et ses obligations de manière indépendante 

Le DPO n’a pas besoin d’être un employé à temps plein, de sorte qu’il peut également être un employé chargé d’autres tâches (pour autant qu’il n’y ait pas de conflit d’intérêts). Toutefois, lorsqu’ils exercent des missions dans le cadre de leur fonction de DPO, ils doivent être en mesure de travailler de manière indépendante, en rendant compte directement à la direction générale. Un DPO est tenu au secret et à la confidentialité.

Le délégué à la protection des données et le nombre d’employés

A l’article 30 du RGPD, il est indiqué que « les obligations […] ne s’appliquent pas à une entreprise ou à une organisation employant moins de 250 personnes, sauf si le traitement qu’elle effectue est susceptible de présenter un risque au regard des droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10″.

L’article 9 mentionné concerne les données relatives à des caractéristiques personnelles sensibles de la personne concernée (par exemple, la race, la religion, l’appartenance syndicale, les données génétiques, l’orientation sexuelle, etc.)

Malheureusement, le nombre d’employés n’est mentionné nulle part dans les articles concernant les conditions de l’obligation d’avoir un délégué à la protection des données. En d’autres termes, il faut faire attention au fait que c’est la nature des données traitées et la nature de l’organisation en ce qui concerne les activités de traitement des données qui obligent à avoir un DPO.

Poste et désignation du délégué à la protection des données

L’article 37 mentionne également les bases sur lesquelles un DPO doit être désigné, telles que le professionnalisme et la connaissance approfondie de la législation et des pratiques en matière de protection des données. Un élément important à retenir est le fait que les coordonnées du délégué à la protection des données doivent être publiées et communiquées à l’autorité de contrôle.

L’article 38 du RGPD examine un peu plus en profondeur la position, et plus précisément l’implication et l’habilitation du délégué à la protection des données. Il appartient au responsable du traitement et au sous-traitant de veiller à ce que les délégués à la protection des données soient impliqués de manière appropriée et en temps utile dans toutes les questions relatives à la protection des données à caractère personnel.

C’est également à l’article 38 que sont mentionnés le pouvoir, les ressources et les accès aux données à caractère personnel et aux traitements de données à caractère personnel. Ainsi, le DPO doit avoir les moyens nécessaires pour pouvoir exercer son travail et être protégé contre les ingérences et l’ordre hiérarchique.

Missions du délégué à la protection des données

L’article 39 du RGPD résume les missions de base du délégué à la protection des données. Celles-ci comprennent le devoir d’informer et de conseiller le responsable du traitement ou le sous-traitant et le personnel qui effectue les opérations de traitement des données à caractère personnel. Il a le devoir de contrôler le respect du RGPD, de travailler avec l’autorité de contrôle, d’être le point de contact de cette autorité de contrôle, également dans le cas d’une consultation préalable (article 36 du RGPD) et d’offrir des conseils au cas où une évaluation de l’impact sur la protection des données est nécessaire.

Clément BOURDENET

M2 Cyberjustice

Promotion 2019-2020

Sources :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr

https://www.cnil.fr/fr/reglement-europeen-protection-donnees https://donnees-rgpd.fr/dpo/role-data-protection-officer/

Laisser un commentaire