Le délégué à la protection des données à caractère personnel (DPO): désignation, fonction et missions

Dans le cadre de la mise en œuvre du principe d’accountability, le RGPD prévoit la désignation, obligatoire, dans certains cas, d’un délégué à la protection des données (DPD ou DPO pour Data Protection Officer).

Le DPD joue un rôle clé dans la promotion d’une culture de la protection des données au sein de l’organisme et contribue à mettre en œuvre des éléments essentiels du RGPD, tels que les principes relatifs au traitement des données, les droits des personnes concernées, la protection des données dès la conception et la protection des données par défaut, le registre des activités de traitement, la sécurité du traitement ainsi que la notification et la communication des violations de données.

Le DPD est présenté par le Groupe de l’article 29 comme « l’une des pierres angulaires du régime de responsabilité » institué par le législateur européen.

Plus précisément, il a pour finalité :

  • D’une part, de faciliter le respect des règles grâce à la mise en œuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données)
  • D’autre part, d’agir comme un intermédiaire entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Au vrai, la désignation d’une personne chargée de veiller au respect de la conformité des procédures internes de l’entreprise avec les principes édictés par les textes n’est pas nouvelle.

La directive du 24 novembre 1995 prévoyait déjà la possibilité pour les États membres de désigner une personne détachée à la protection des données, laquelle sera connue, en France, sous le nom de Correspondant Informatique et Libertés (CIL).

Autant dire que le DPD a vocation à remplacer ce CIL, à la nuance près néanmoins, que la désignation du DPD est, dans certains cas, rendue obligatoire par le RGPD.

Étonnement, tandis que le RGPD détaille le statut du DPD, la loi française de transposition du 20 juin 2018 se limite à prévoir sa désignation. Pour le reste, elle renvoie au règlement européen qui, bien qu’il soit d’application directe, comporte de nombreuses zones d’imprécision.

Aussi, c’est à la CNIL et à la jurisprudence qu’il reviendra de préciser le statut juridique du DPD.

Pour l’heure, il convient de se reporter au RGPD et aux lignes directives du Groupe de l’article 29 afin d’appréhender le régime juridique du DPD.

I) La désignation du délégué à la protection des données

A) Les cas de désignation d’un DPD

Il ressort du RGPD qu’il convient de distinguer les cas où la désignation d’un DPD est obligatoire et ceux où la désignation est facultative.

  1. La désignation d’un DPD est obligatoire

A titre de remarque liminaire, il peut être observé que l’article 37 du RGPD s’applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d’un DPD.

En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPD, dans d’autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPD (les deux DPD devant alors collaborer entre eux).

Il est important de souligner que, quand bien même le responsable du traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu de désigner un DPD.

Pour déterminer si la désignation est obligatoire, il convient de se reporter à l’article 37, 1. du RGPD qui énonce trois cas.

Dans le silence de la LIL et de la jurisprudence qui n’a pas encore eu l’opportunité de se prononcer, le champ d’application de ces trois cas doit être appréhendée à la lumière Lignes directrices concernant les délégués à la protection des données adoptées par le Groupe de l’article 29 en date du 13 décembre 2016.

  • Premier cas: le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
    • Le G29 considère que cette notion doit être définie en fonction du droit national.
    • Bien qu’il n’y ait pas d’obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique désignent un DPD. Les activités de ce DPD couvrent l’ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l’exercice d’une charge officielle (par exemple, la gestion d’une base de données des employés).
  • Deuxième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
    • Sur la notion d’« activité de base »
      • Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
      • Toutefois, les « activités de base » ne doivent pas être interprétées comme excluant les activités pour lesquelles le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant.
      • Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.
      • Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.
      • Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPD.
    • Sur la notion de suivi régulier et systématique
      • La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD, mais celle de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 et inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.
      • Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.
        • Sur le terme « régulier»
          • Le G29 interprète le terme « régulier » comme recouvrant une ou plusieurs des significations suivantes
            • Continu ou se produisant à intervalles réguliers au cours d’une période donnée
            • Récurrent ou se répétant à des moments fixes
            • Ayant lieu de manière constante ou périodique.
        • Sur le terme « systématique»
          • Le G29 interprète le terme « systématique » comme recouvrant une ou plusieurs des significations suivantes
            • Se produisant conformément à un système
            • Préétabli, organisé ou méthodique
            • Ayant lieu dans le cadre d’un programme général de collecte de données
            • Effectué dans le cadre d’une stratégie.
          • Exemples d’activités pouvant constituer un suivi régulier et systématique des personnes concernées:
            • Exploitation d’un réseau de télécommunications
            • Fourniture de services de télécommunications
            • Reciblage par courrier électronique
            • Activités de marketing fondées sur les données
            • Profilage et notation à des fins d’évaluation des risques (par exemple, aux fins de l’évaluation du risque de crédit, de l’établissement des primes d’assurance, de la prévention de la fraude ou de la détection du blanchiment d’argent)
            • Géolocalisation, par exemple, par des applications mobiles
            • Programmes de fidélité
            • Publicité comportementale
            • Surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables
            • Systèmes de télévision en circuit fermé
            • Dispositifs connectés tels que les voitures et compteurs intelligents, la domotique, etc.
  • Troisième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10
    • Si le RGPD ne définit pas la notion de traitement à « grande échelle », le considérant 91 fournit toutefois certaines orientations.
    • En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations.
    • Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement « à grande échelle » pour certains types d’activités de traitement courantes.
    • En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée
      • Le volume de données et/ou le spectre des données traitées
      • La durée, ou la permanence, des activités de traitement des données
      • L’étendue géographique de l’activité de traitement

2. La désignation d’un DPD est facultative

L’article 37, 4. du RGPD prévoit que « le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données ».

Cette désignation résultera d’une évaluation du niveau de risque de non-conformité auquel est exposé le responsable du traitement ou le sous-traitant.

A cet égard, il peut être observé que le G29 recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPD, afin qu’ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.

Cette analyse fait partie de la documentation requise au titre du principe de responsabilité. Elle peut être exigée par l’autorité de contrôle et doit être tenue à jour le cas échéant, par exemple si les responsables du traitement ou les sous-traitants exercent de nouvelles activités ou s’ils proposent de nouveaux services susceptibles de correspondre aux cas énumérés à l’article 37.

B) Les modalités de désignation du DPD

  1. La désignation d’un DPD externe

Le Groupe de l’article 29 prévient : lorsqu’un organisme désigne un DPD sur une base volontaire, les conditions prévues aux articles 37 à 39 s’appliquent à la désignation, à la fonction et aux missions de celui-ci comme si la désignation avait été obligatoire.

Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPD et ne souhaite pas en désigner sur une base volontaire d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel.

En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions.

Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD).

2. La désignation d’un DPD unique pour plusieurs organismes

L’article 37, 4 du RGPD prévoit que « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ».

Pour le Groupe de l’article 29 la notion de joignabilité renvoie aux missions du DPD en tant que point de contact pour les personnes concernées, pour l’autorité de contrôle, mais également en interne au sein de l’organisme, compte tenu du fait que l’une des missions du DPD consiste à « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement ».

Afin de veiller à ce que le DPD, qu’il soit interne ou externe, soit joignable, il est important de

s’assurer que ses coordonnées sont mises à disposition conformément aux exigences du RGPD.

Il doit donc être en mesure, avec l’aide d’une équipe si nécessaire, de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes, ce qui implique également que cette communication s’effectue dans la ou les langues utilisées par les autorités de contrôle et les personnes concernées en question.

La disponibilité d’un DPD (qu’il se trouve physiquement dans le même lieu que les employés ou qu’il soit joignable à travers un service d’assistance téléphonique ou d’autres moyens de communication sécurisés) est essentielle pour que les personnes concernées puissent prendre contact avec lui.

En outre, l’article 37 du RGPD autorise la désignation d’un seul délégué à la protection des données pour plusieurs autorités publiques ou organismes publics, compte tenu :

  • De leur structure organisationnelle
  • De leur taille.

Les mêmes considérations en matière de ressources et de communication s’appliquent.

Étant donné que le DPD est chargé d’une série de missions, le responsable du traitement ou le sous-traitant doit s’assurer qu’un seul DPD peut, avec l’aide d’une équipe si nécessaire, s’acquitter efficacement de ces missions en dépit du fait qu’il soit désigné par plusieurs autorités publiques et organismes publics.

C) La publicité de la désignation du DPD

L’article 37, 7 du RGPD met à la charge du responsable du traitement une obligation de publier « les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle ».

Ces exigences visent à garantir que les personnes concernées (tant à l’intérieur qu’à l’extérieur de l’organisme) et les autorités de contrôle puissent aisément et directement prendre contact avec le DPD sans devoir s’adresser à un autre service de l’organisme.

==> Sur la communication des coordonnées du DPD

Les coordonnées du DPD doivent contenir des informations permettant aux personnes concernées et aux autorités de contrôle de joindre celui-ci facilement (une adresse postale, un numéro de téléphone spécifique et/ou une adresse de courrier électronique spécifique).

Le cas échéant, aux fins de la communication avec le public, d’autres moyens de communication pourraient également être prévus, par exemple, une assistance par téléphone spécifique, ou un formulaire de contact spécifique adressé au DPD sur le site web de l’organisme.

==> Sur la communication du nom du DPD

L’article 37, 7 n’exige pas que les coordonnées publiées incluent le nom du DPD.

Toutefois, la communication du nom du DPD à l’autorité de contrôle est essentielle pour que le DPD puisse faire office de point de contact entre l’organisme et l’autorité de contrôle.

II) La fonction de délégué à la protection des données

A) Les conditions d’éligibilité à la fonction de DPD

L’article 37, 5. du RGPD prévoit que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Le considérant 97 précise que le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. L’appréciation doit, autrement dit, être effectuée au cas par cas.

En tout état de cause, pour être éligible à la fonction de DPD, la personne désignée doit justifier :

  • D’un niveau adéquat expertise
    • Bien que le niveau d’expertise requis ne soit pas défini, il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme.
    • Par exemple, lorsqu’une opération de traitement de données est particulièrement complexe, ou lorsqu’une grande quantité de données sensibles est concernée, il est possible que le DPD doive disposer d’un niveau plus élevé d’expertise et de soutien.
  • De qualités professionnelles suffisantes
    • Pour le Groupe de l’article 29, il est nécessaire il est nécessaire que le DPD dispose d’une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD.
    • Il doit encore disposer d’une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information et des besoins du responsable du traitement en matière de protection et de sécurité des données
  • D’une aptitude à exercer ses missions
    • L’aptitude à exercer les missions qui incombent au DPD doit être interprétée tant au regard des qualités personnelles et connaissances du DPD que de sa fonction au sein de l’organisme.
    • Parmi les qualités personnelles figurent par exemple l’intégrité et un haut niveau de déontologie, la préoccupation première du DPD doit être de permettre le respect du RGPD.

B) La fonction du DPD

L’article 38 du RGPD prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

Il ressort de cette disposition que, dès lors qu’une situation intéresse le traitement de données à caractères personnel, le DPD doit, a minima, en être informé par le responsable du traitement, voire être consulté pour avis.

C) Les ressources du DPD

L’article 38 du RGPD met à la charge du responsable du traitement une obligation de fourniture, au DPD :

  • Des ressources nécessaires pour exercer ces missions
  • De l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

Le Groupe de l’article 29 précise que, d’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé.

D) Les garanties d’exercice de la fonction

L’article 38 du RGPD pose un certain nombre de règles qui sont destinées à permettre au DPD d’exercer ses missions en toute indépendance.

A cet égard, le considérant 97 précise que le DPD soit ou non employé du responsable du traitement, il doit, en tout état de cause, être en mesure d’exercer ses fonctions et missions en toute indépendance.

Cette indépendance est garantie par :

  • L’autonomie dont jouit le DPD dans l’exercice de ses missions
    • A cet égard, le responsable du traitement et le sous-traitant doivent veiller à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions.
    • Cela signifie que, dans l’exercice de ses missions, en application de l’article 39 du RGPD, le DPD ne doit pas recevoir d’instructions sur la façon de traiter une affaire, par exemple, quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.
    • LE RGPD précise que le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  • L’immunité dont il jouit quant au licenciement et aux sanctions disciplinaires
    • Le DPD ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
    • Cette exigence renforce l’autonomie des DPD et contribue à garantir que ceux-ci agissent en toute indépendance et bénéficient d’une protection suffisante dans l’exercice de leurs missions relatives à la protection des données.
    • Par exemple, si un DPD considère qu’un traitement particulier est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPD, ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis.
  • La prévention du conflit d’intérêts
    • Si le RGPD autorise le DPD à exercer d’autres missions et tâches au sein de l’entreprise, le responsable du traitement ou le sous-traitant doivent veiller à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
    • Pour le Groupe de l’article 29 cela signifie que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
    • S’agissant d’un DPD externe, il peut y avoir conflit d’intérêt s’il est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

III) Les missions du délégué à la protection des données

Les missions qui doivent être confiées au DPD sont énoncées, non exhaustivement, à l’article 39 du RGPD.

Cette disposition prévoit en ce sens que le DPD a pour mission :

  • D’informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
    • Le DPD se voit ainsi confié une mission pédagogique auprès des différents acteurs de l’entreprise.
    • Cette mission peut se traduire par la mise en place de formation et de notes informatives
  • De contrôler le respect du RGPD
    • Le contrôle du respect du RGPD ne signifie pas que le DPD est personnellement responsable en cas de non-respect de celui-ci.
    • Le RGPD établit clairement que c’est le responsable du traitement, et non le DPD, qui est tenu de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement» (article 24).
    • Le respect de la protection des données relève de la responsabilité du responsable du traitement des données, et non du DPD.
  • De dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci
    • Conformément à l’article 35, il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données.
    • Le G29 recommande que le responsable du traitement demande conseil au DPD sur les questions suivantes notamment :
      • La question de savoir s’il convient ou non de procéder à une analyse d’impact relative à la protection des données ;
      • La méthodologie à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;
      • La question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en interne ou de la sous-traiter ;
      • Les mesures (y compris des mesures techniques et organisationnelles) à appliquer pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ;
      • La question de savoir si l’analyse d’impact relative à la protection des données a été correctement réalisée et si ses conclusions (opportunité ou non de procéder au traitement et garanties à mettre en place) sont conformes au RGPD.
    • Si le responsable du traitement est en désaccord avec l’avis fourni par le DPD, la documentation de l’analyse d’impact relative à la protection des données devrait expressément justifier, par écrit, la raison pour laquelle l’avis n’a pas été pris en considération.
  • De coopérer avec l’autorité de contrôle et de faire office de point de contact
    • Selon le Groupe de l’article 29, ces missions ont trait au rôle de « facilitateur » du DPD.
    • En effet, celui-ci fait office de point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations nécessaires à l’exécution de ses missions, ainsi qu’à l’exercice de ses pouvoirs d’enquête, de ses pouvoirs d’adopter des mesures correctrices, de ses pouvoirs d’autorisation et de ses pouvoirs consultatifs