RGPD: le registre des activités de traitement

L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles mis en œuvre par le responsable du traitement et permettre d’identifier précisément :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • Les catégories de données traitées,
  • A quoi servent ces données (ce que qu’on en fait), qui accède aux données et à qui elles sont communiquées,
  • Combien de temps les données collectées sont conservées,
  • Comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données

I) Les personnes chargées de tenir le registre

Il ressort de l’article 30, 5 du RGPD que l’obligation de tenue d’un registre des activités de traitement ne s’applique pas à toutes les structures.

==> Principe

L’obligation de tenue d’un registre des activités de traitement incombe à toutes les structures qui comportent plus de 250 salariés.

Dès lors que ce seuil est dépassé, le responsable du traitement a l’obligation de constituer ce registre, quand bien même aucun DPD n’a été désigné.

Par ailleurs, l’obligation de tenir un registre s’applique, tant au responsable du traitement, qu’au sous-traitant.

L’article 30, 2 du RGPD énonce en ce sens que chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

==>Exception

Par exception à l’obligation qui s’impose au responsable du traitement et au sous-traitant, l’article 30, 5 du RGPD prévoit que l’obligation de tenue d’un registre ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • Le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel

OU

  • Le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

II) Le contenu du registre

Avant l’entrée en vigueur du RGPD, la loi Informatique et Libertés imposait aux responsables de traitements de données personnelles, sauf exceptions, d’accomplir des formalités déclaratives auprès de la CNIL.

A cet égard, cette dernière recommande que le registre tenu par le responsable du traitement, en application de la nouvelle réglementation, fasse état, tant des traitements qui avaient donné lieu, avant l’entrée en vigueur du RGPD, à des déclarations préalables que de ceux intervenus après son adoption.

A) Les traitements antérieurs au 25 mai 2018

Pour les traitements intervenus avant le 25 mai 2018, il est possible d’intégrer au registre prévu par les formalités accomplies lors de la déclaration de ces traitements, soit :

  • Les déclarations simplifiées ;
  • Les déclarations ordinaires ;
  • Les déclarations normales ;
  • Les demandes d’avis ;
  • Les demandes d’autorisation ;
  • Les demandes d’autorisation recherches médicales ;
  • Les demandes d’autorisation évaluation de pratiques de soins.

Il peut être observé que les listes qui concernent les formalités accomplies entre 1979 et le 25 mai 2018 par les responsables publics et privés mettant en œuvre des fichiers, dispositifs ou applications traitant des données relatives à des personnes physiques sont mises à disposition pour une durée de 10 ans à compter du 25 mai 2018 : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018

Reste que dans certains cas, le responsable du traitement était dispensé d’accomplir des formalités :

  • Les organismes, publics ou privés, qui avaient désigné un Correspondant Informatique et Libertés (CIL) étaient ainsi dispensés, depuis octobre 2005, d’accomplir certaines formalités (déclarations) auprès de la CNIL.
  • La CNIL avait également dispensé de déclaration certains traitements de données personnelles courants.

D’autres traitements étaient encore dispensés, non pas de déclaration, mais de la publication de l’acte réglementaire qui les autorise :

  • Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III de la loi Informatique et Libertés en vigueur avant le 25 mai 2018) étaient également dispensées de publication.
  • Les traitements mis en œuvre par des particuliers (ex. : vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée, ne sont pas concernés par cette publication.

Pour ces traitements dispensés de déclaration ou de publication, s’il n’est pas nécessaire d’en faire mention sur le registre des activités, il doit, en revanche, être fait état de l’exemption dont ils bénéficient.

B) Les traitements postérieurs au 25 mai 2018

  1. Le registre du responsable du traitement

L’article 30, 1 du RGPD prévoit que le registre des activités de traitement doit mentionner les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

2. Le registre du sous-traitant

S’agissant du registre tenu par le sous-traitant, en application de l’article 30, 2 du RGPD il doit comporter :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

III) Les modalités de tenue du registre

Compte tenu des informations qui doivent figurer sur le registre, celui-ci doit nécessairement prendre la forme d’un écrit.

L’article 30, 3 prévoit en ce sens que 3 le registre se présente « sous une forme écrite y compris la forme électronique. »

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

IV) La mise à disposition du registre

==> La communication du registre à la CNIL

L’article 30, 4 du RGPD prévoit que le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant doivent metttre le registre à la disposition de l’autorité de contrôle sur demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

==> La communication du registre aux personnes

La CNIL rappelle que selon que le registre est tenu par un organisme public ou privé, sa communication peut être autorisée ou interdite

  • S’agissant des organismes du secteur public
    • Ils sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.
    • Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
  • S’agissant des organismes privés
    • Ils ne sont pas tenus de communiquer le registre au public.
    • Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.

Le délégué à la protection des données à caractère personnel (DPO): désignation, fonction et missions

Dans le cadre de la mise en œuvre du principe d’accountability, le RGPD prévoit la désignation, obligatoire, dans certains cas, d’un délégué à la protection des données (DPD ou DPO pour Data Protection Officer).

Le DPD joue un rôle clé dans la promotion d’une culture de la protection des données au sein de l’organisme et contribue à mettre en œuvre des éléments essentiels du RGPD, tels que les principes relatifs au traitement des données, les droits des personnes concernées, la protection des données dès la conception et la protection des données par défaut, le registre des activités de traitement, la sécurité du traitement ainsi que la notification et la communication des violations de données.

Le DPD est présenté par le Groupe de l’article 29 comme « l’une des pierres angulaires du régime de responsabilité » institué par le législateur européen.

Plus précisément, il a pour finalité :

  • D’une part, de faciliter le respect des règles grâce à la mise en œuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données)
  • D’autre part, d’agir comme un intermédiaire entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Au vrai, la désignation d’une personne chargée de veiller au respect de la conformité des procédures internes de l’entreprise avec les principes édictés par les textes n’est pas nouvelle.

La directive du 24 novembre 1995 prévoyait déjà la possibilité pour les États membres de désigner une personne détachée à la protection des données, laquelle sera connue, en France, sous le nom de Correspondant Informatique et Libertés (CIL).

Autant dire que le DPD a vocation à remplacer ce CIL, à la nuance près néanmoins, que la désignation du DPD est, dans certains cas, rendue obligatoire par le RGPD.

Étonnement, tandis que le RGPD détaille le statut du DPD, la loi française de transposition du 20 juin 2018 se limite à prévoir sa désignation. Pour le reste, elle renvoie au règlement européen qui, bien qu’il soit d’application directe, comporte de nombreuses zones d’imprécision.

Aussi, c’est à la CNIL et à la jurisprudence qu’il reviendra de préciser le statut juridique du DPD.

Pour l’heure, il convient de se reporter au RGPD et aux lignes directives du Groupe de l’article 29 afin d’appréhender le régime juridique du DPD.

I) La désignation du délégué à la protection des données

A) Les cas de désignation d’un DPD

Il ressort du RGPD qu’il convient de distinguer les cas où la désignation d’un DPD est obligatoire et ceux où la désignation est facultative.

  1. La désignation d’un DPD est obligatoire

A titre de remarque liminaire, il peut être observé que l’article 37 du RGPD s’applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d’un DPD.

En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPD, dans d’autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPD (les deux DPD devant alors collaborer entre eux).

Il est important de souligner que, quand bien même le responsable du traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu de désigner un DPD.

Pour déterminer si la désignation est obligatoire, il convient de se reporter à l’article 37, 1. du RGPD qui énonce trois cas.

Dans le silence de la LIL et de la jurisprudence qui n’a pas encore eu l’opportunité de se prononcer, le champ d’application de ces trois cas doit être appréhendée à la lumière Lignes directrices concernant les délégués à la protection des données adoptées par le Groupe de l’article 29 en date du 13 décembre 2016.

  • Premier cas: le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
    • Le G29 considère que cette notion doit être définie en fonction du droit national.
    • Bien qu’il n’y ait pas d’obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique désignent un DPD. Les activités de ce DPD couvrent l’ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l’exercice d’une charge officielle (par exemple, la gestion d’une base de données des employés).
  • Deuxième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
    • Sur la notion d’« activité de base »
      • Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
      • Toutefois, les « activités de base » ne doivent pas être interprétées comme excluant les activités pour lesquelles le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant.
      • Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.
      • Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.
      • Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPD.
    • Sur la notion de suivi régulier et systématique
      • La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD, mais celle de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 et inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.
      • Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.
        • Sur le terme « régulier»
          • Le G29 interprète le terme « régulier » comme recouvrant une ou plusieurs des significations suivantes
            • Continu ou se produisant à intervalles réguliers au cours d’une période donnée
            • Récurrent ou se répétant à des moments fixes
            • Ayant lieu de manière constante ou périodique.
        • Sur le terme « systématique»
          • Le G29 interprète le terme « systématique » comme recouvrant une ou plusieurs des significations suivantes
            • Se produisant conformément à un système
            • Préétabli, organisé ou méthodique
            • Ayant lieu dans le cadre d’un programme général de collecte de données
            • Effectué dans le cadre d’une stratégie.
          • Exemples d’activités pouvant constituer un suivi régulier et systématique des personnes concernées:
            • Exploitation d’un réseau de télécommunications
            • Fourniture de services de télécommunications
            • Reciblage par courrier électronique
            • Activités de marketing fondées sur les données
            • Profilage et notation à des fins d’évaluation des risques (par exemple, aux fins de l’évaluation du risque de crédit, de l’établissement des primes d’assurance, de la prévention de la fraude ou de la détection du blanchiment d’argent)
            • Géolocalisation, par exemple, par des applications mobiles
            • Programmes de fidélité
            • Publicité comportementale
            • Surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables
            • Systèmes de télévision en circuit fermé
            • Dispositifs connectés tels que les voitures et compteurs intelligents, la domotique, etc.
  • Troisième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10
    • Si le RGPD ne définit pas la notion de traitement à « grande échelle », le considérant 91 fournit toutefois certaines orientations.
    • En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations.
    • Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement « à grande échelle » pour certains types d’activités de traitement courantes.
    • En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée
      • Le volume de données et/ou le spectre des données traitées
      • La durée, ou la permanence, des activités de traitement des données
      • L’étendue géographique de l’activité de traitement

2. La désignation d’un DPD est facultative

L’article 37, 4. du RGPD prévoit que « le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données ».

Cette désignation résultera d’une évaluation du niveau de risque de non-conformité auquel est exposé le responsable du traitement ou le sous-traitant.

A cet égard, il peut être observé que le G29 recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPD, afin qu’ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.

Cette analyse fait partie de la documentation requise au titre du principe de responsabilité. Elle peut être exigée par l’autorité de contrôle et doit être tenue à jour le cas échéant, par exemple si les responsables du traitement ou les sous-traitants exercent de nouvelles activités ou s’ils proposent de nouveaux services susceptibles de correspondre aux cas énumérés à l’article 37.

B) Les modalités de désignation du DPD

  1. La désignation d’un DPD externe

Le Groupe de l’article 29 prévient : lorsqu’un organisme désigne un DPD sur une base volontaire, les conditions prévues aux articles 37 à 39 s’appliquent à la désignation, à la fonction et aux missions de celui-ci comme si la désignation avait été obligatoire.

Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPD et ne souhaite pas en désigner sur une base volontaire d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel.

En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions.

Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD).

2. La désignation d’un DPD unique pour plusieurs organismes

L’article 37, 4 du RGPD prévoit que « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ».

Pour le Groupe de l’article 29 la notion de joignabilité renvoie aux missions du DPD en tant que point de contact pour les personnes concernées, pour l’autorité de contrôle, mais également en interne au sein de l’organisme, compte tenu du fait que l’une des missions du DPD consiste à « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement ».

Afin de veiller à ce que le DPD, qu’il soit interne ou externe, soit joignable, il est important de

s’assurer que ses coordonnées sont mises à disposition conformément aux exigences du RGPD.

Il doit donc être en mesure, avec l’aide d’une équipe si nécessaire, de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes, ce qui implique également que cette communication s’effectue dans la ou les langues utilisées par les autorités de contrôle et les personnes concernées en question.

La disponibilité d’un DPD (qu’il se trouve physiquement dans le même lieu que les employés ou qu’il soit joignable à travers un service d’assistance téléphonique ou d’autres moyens de communication sécurisés) est essentielle pour que les personnes concernées puissent prendre contact avec lui.

En outre, l’article 37 du RGPD autorise la désignation d’un seul délégué à la protection des données pour plusieurs autorités publiques ou organismes publics, compte tenu :

  • De leur structure organisationnelle
  • De leur taille.

Les mêmes considérations en matière de ressources et de communication s’appliquent.

Étant donné que le DPD est chargé d’une série de missions, le responsable du traitement ou le sous-traitant doit s’assurer qu’un seul DPD peut, avec l’aide d’une équipe si nécessaire, s’acquitter efficacement de ces missions en dépit du fait qu’il soit désigné par plusieurs autorités publiques et organismes publics.

C) La publicité de la désignation du DPD

L’article 37, 7 du RGPD met à la charge du responsable du traitement une obligation de publier « les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle ».

Ces exigences visent à garantir que les personnes concernées (tant à l’intérieur qu’à l’extérieur de l’organisme) et les autorités de contrôle puissent aisément et directement prendre contact avec le DPD sans devoir s’adresser à un autre service de l’organisme.

==> Sur la communication des coordonnées du DPD

Les coordonnées du DPD doivent contenir des informations permettant aux personnes concernées et aux autorités de contrôle de joindre celui-ci facilement (une adresse postale, un numéro de téléphone spécifique et/ou une adresse de courrier électronique spécifique).

Le cas échéant, aux fins de la communication avec le public, d’autres moyens de communication pourraient également être prévus, par exemple, une assistance par téléphone spécifique, ou un formulaire de contact spécifique adressé au DPD sur le site web de l’organisme.

==> Sur la communication du nom du DPD

L’article 37, 7 n’exige pas que les coordonnées publiées incluent le nom du DPD.

Toutefois, la communication du nom du DPD à l’autorité de contrôle est essentielle pour que le DPD puisse faire office de point de contact entre l’organisme et l’autorité de contrôle.

II) La fonction de délégué à la protection des données

A) Les conditions d’éligibilité à la fonction de DPD

L’article 37, 5. du RGPD prévoit que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Le considérant 97 précise que le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. L’appréciation doit, autrement dit, être effectuée au cas par cas.

En tout état de cause, pour être éligible à la fonction de DPD, la personne désignée doit justifier :

  • D’un niveau adéquat expertise
    • Bien que le niveau d’expertise requis ne soit pas défini, il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme.
    • Par exemple, lorsqu’une opération de traitement de données est particulièrement complexe, ou lorsqu’une grande quantité de données sensibles est concernée, il est possible que le DPD doive disposer d’un niveau plus élevé d’expertise et de soutien.
  • De qualités professionnelles suffisantes
    • Pour le Groupe de l’article 29, il est nécessaire il est nécessaire que le DPD dispose d’une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD.
    • Il doit encore disposer d’une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information et des besoins du responsable du traitement en matière de protection et de sécurité des données
  • D’une aptitude à exercer ses missions
    • L’aptitude à exercer les missions qui incombent au DPD doit être interprétée tant au regard des qualités personnelles et connaissances du DPD que de sa fonction au sein de l’organisme.
    • Parmi les qualités personnelles figurent par exemple l’intégrité et un haut niveau de déontologie, la préoccupation première du DPD doit être de permettre le respect du RGPD.

B) La fonction du DPD

L’article 38 du RGPD prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

Il ressort de cette disposition que, dès lors qu’une situation intéresse le traitement de données à caractères personnel, le DPD doit, a minima, en être informé par le responsable du traitement, voire être consulté pour avis.

C) Les ressources du DPD

L’article 38 du RGPD met à la charge du responsable du traitement une obligation de fourniture, au DPD :

  • Des ressources nécessaires pour exercer ces missions
  • De l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

Le Groupe de l’article 29 précise que, d’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé.

D) Les garanties d’exercice de la fonction

L’article 38 du RGPD pose un certain nombre de règles qui sont destinées à permettre au DPD d’exercer ses missions en toute indépendance.

A cet égard, le considérant 97 précise que le DPD soit ou non employé du responsable du traitement, il doit, en tout état de cause, être en mesure d’exercer ses fonctions et missions en toute indépendance.

Cette indépendance est garantie par :

  • L’autonomie dont jouit le DPD dans l’exercice de ses missions
    • A cet égard, le responsable du traitement et le sous-traitant doivent veiller à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions.
    • Cela signifie que, dans l’exercice de ses missions, en application de l’article 39 du RGPD, le DPD ne doit pas recevoir d’instructions sur la façon de traiter une affaire, par exemple, quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.
    • LE RGPD précise que le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  • L’immunité dont il jouit quant au licenciement et aux sanctions disciplinaires
    • Le DPD ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
    • Cette exigence renforce l’autonomie des DPD et contribue à garantir que ceux-ci agissent en toute indépendance et bénéficient d’une protection suffisante dans l’exercice de leurs missions relatives à la protection des données.
    • Par exemple, si un DPD considère qu’un traitement particulier est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPD, ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis.
  • La prévention du conflit d’intérêts
    • Si le RGPD autorise le DPD à exercer d’autres missions et tâches au sein de l’entreprise, le responsable du traitement ou le sous-traitant doivent veiller à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
    • Pour le Groupe de l’article 29 cela signifie que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
    • S’agissant d’un DPD externe, il peut y avoir conflit d’intérêt s’il est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

III) Les missions du délégué à la protection des données

Les missions qui doivent être confiées au DPD sont énoncées, non exhaustivement, à l’article 39 du RGPD.

Cette disposition prévoit en ce sens que le DPD a pour mission :

  • D’informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
    • Le DPD se voit ainsi confié une mission pédagogique auprès des différents acteurs de l’entreprise.
    • Cette mission peut se traduire par la mise en place de formation et de notes informatives
  • De contrôler le respect du RGPD
    • Le contrôle du respect du RGPD ne signifie pas que le DPD est personnellement responsable en cas de non-respect de celui-ci.
    • Le RGPD établit clairement que c’est le responsable du traitement, et non le DPD, qui est tenu de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement» (article 24).
    • Le respect de la protection des données relève de la responsabilité du responsable du traitement des données, et non du DPD.
  • De dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci
    • Conformément à l’article 35, il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données.
    • Le G29 recommande que le responsable du traitement demande conseil au DPD sur les questions suivantes notamment :
      • La question de savoir s’il convient ou non de procéder à une analyse d’impact relative à la protection des données ;
      • La méthodologie à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;
      • La question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en interne ou de la sous-traiter ;
      • Les mesures (y compris des mesures techniques et organisationnelles) à appliquer pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ;
      • La question de savoir si l’analyse d’impact relative à la protection des données a été correctement réalisée et si ses conclusions (opportunité ou non de procéder au traitement et garanties à mettre en place) sont conformes au RGPD.
    • Si le responsable du traitement est en désaccord avec l’avis fourni par le DPD, la documentation de l’analyse d’impact relative à la protection des données devrait expressément justifier, par écrit, la raison pour laquelle l’avis n’a pas été pris en considération.
  • De coopérer avec l’autorité de contrôle et de faire office de point de contact
    • Selon le Groupe de l’article 29, ces missions ont trait au rôle de « facilitateur » du DPD.
    • En effet, celui-ci fait office de point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations nécessaires à l’exécution de ses missions, ainsi qu’à l’exercice de ses pouvoirs d’enquête, de ses pouvoirs d’adopter des mesures correctrices, de ses pouvoirs d’autorisation et de ses pouvoirs consultatifs

RGPD: le principe d’accountability ou l’abandon – partiel – du système des formalités préalables

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement

  • Principe
    • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
      • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
      • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
  • Exception
    • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

  • Principe : le régime de déclaration
    • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
    • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
    • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
      • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
      • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
      • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
      • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
      • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
  • Exception : le régime d’autorisation
    • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
      • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
      • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
      • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
      • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Transposant le Règlement général sur a protection des données (RGPD), la loi du 20 juin 2018 simplifie, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, comme l’autorise le règlement, la loi maintient des formalités préalables pour certains traitements.

Pour les données les plus sensibles, leur traitement est purement et simplement interdit par la loi informatique et libertés

Au bilan, trois sortes de régimes juridiques sont applicables aux traitements de données à caractère personnel :

  • Un régime de responsabilité
  • Un régime d’autorisation
  • Un régime de d’interdiction

==> Le principe d’accountability

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations qu’il convient d’examiner.