Small nick 01

Jérôme BENBIHI

Vous recherchez votre DPO ? Un récent jugement fait réfléchir...

 

dpo

Le règlement général sur la protection des données (RGPD), qui prend effet le 25 mai 2018, fournit un cadre de conformité modernisé, fondé sur la responsabilité, en matière de protection des données en Europe. Les délégués à la protection des données (DPD, ou DPO pour « data protection officer ») seront au cœur de ce nouveau cadre juridique pour de nombreux organismes, pour faciliter la conformité avec les dispositions du RGPD. 

Comment choisir un DPO ? Qui choisir ? Un membre de la direction, un responsable IT ou un juriste interne ? Il faut faire très attention aux contrariétés d’intérêts, le Tribunal de l’UE l’a rappelé dans l’affaire récente avec Crédit Agricole, on ne peut pas être juge et partie, contrôler et être contrôlé.

Le DPO pour qui ?

Dans trois cas précis (cf. article 37 du RGPD), la désignation d’un délégué à la protection des données est rendue obligatoire. C’est le cas pour :
1. les autorités publiques ou organisme publique,
2. les entreprises qui effectuent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
3. les entreprises qui effectuent des traitements de données sensibles, ou liées à des condamnations pénales et infractions.

De plus, le Règlement permet au droit de l’Union ou au droit d’un État membre d’exiger la désignation d’un délégué à la protection des données dans des cas supplémentaires à ceux prévus par le RGDP.

Un groupe d’entreprises peut également nommer un délégué unique ; cette possibilité existe aussi pour les autorités et entités publiques en tenant compte de la structure de leur organisation et de leur taille (article 37 § 2 et 3).

Dans tous les cas, le responsable ou le sous-traitant disposent de la faculté de désigner un délégué à la protection des données. Il en va de même des associations ou autres organismes qui représentent des catégories de responsables du traitement ou de sous-traitants ; ce délégué à la protection des données pourra alors agir pour ces associations ou ces organismes représentant les responsables ou sous-traitants.

Quels sont les critères ?

Les qualités que le délégué à la protection des données doit posséder sont déterminées par l’article 37 § 5.

1. Le DPO détient les compétences requises :

  • une expertise juridique et technique en matière de protection des données personnelles ;
  • une bonne connaissance du secteur d’activité, de l'organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données.

2. Le DPO dispose de moyens suffisants. Cela implique en particulier pour le DPO de :

  • disposer du temps suffisant pour exercer ses missions ;
  • bénéficier de moyens matériels et humains adéquats ;
  • pouvoir accéder aux informations utiles ;
  • être associé en amont des projets impliquant des données personnelles ;
  • être facilement joignable par les personnes concernées.

3. Le DPO a la capacité d’agir en toute indépendance. Cela signifie :

  • ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction ;
  • pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ;
  • ne pas être sanctionné pour l'exercice de ses missions de DPO
  • ne pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

Le responsable du traitement ou le sous-traitant doivent aider le délégué à exercer les missions visées à l’article 39 en lui fournissant les ressources nécessaires à leur exécution et l’accès aux données à caractère personnel et aux traitements, ainsi qu’en permettant au délégué d’entretenir ses compétences spécialisées (formation continue).

Le délégué peut exécuter d’autres missions et tâches, à charge du responsable du traitement ou le sous-traitant de veiller à ce que ces missions et tâches n’entraînent pas de conflits d’intérêts (§ 6). Comme souligné par le G29, « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.

En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. En outre, il peut également y avoir conflit d’intérêts, par exemple, si un DPD externe est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données. » (Article 38, paragraphes 3 et 6 du RGPD) 

Enfin, en fonction des activités, de la taille et de la structure de l’organisme, il peut être de bonne pratique pour les responsables du traitement ou les sous-traitants : 

- de recenser les fonctions qui seraient incompatibles avec celle de DPD;

- d’établir des règles internes à cet effet, afin d’éviter les conflits d’intérêts;

- d’inclure une explication plus générale concernant les conflits d’intérêts;

- de déclarer que leur DPD n’a pas de conflit d’intérêts en ce qui concerne sa fonction de DPD, dans le but de mieux faire connaître cette exigence;

- de prévoir des garanties dans le règlement intérieur de l’organisme, et de veiller à ce que l’avis de vacance pour la fonction de DPD ou le contrat de service soit suffisamment précis et détaillé pour éviter tout conflit d’intérêts. Dans ce contexte, il convient également de garder à l’esprit que les conflits d’intérêts peuvent prendre différentes formes selon que le DPD est recruté en interne ou à l’extérieur. 

Article publié sur LinkedIn

Laissez un commentaire