Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Avec l’Analyse d’impact, le délégué à la protection des données, DPD, (en anglais data protection officer, DPO) est la seconde création emblématique du RGPD. En France, il remplace logiquement le CIL, le Correspondant informatique et libertés. Il convient toutefois de noter que l’Union Européenne recommandait depuis longtemps déjà la désignation d’un DPO dans les grosses structures administratives et économiques, et que certaines avaient suivi cette recommandation.

Le G29 a travaillé sur le rôle du DPD et adopté quelques « lignes directrices » finalisées le 5 avril 2017. Ces précisions nous aident à tracer les contours et les contenus de ce poste clé.

La désignation d’un DPD est obligatoire pour (art 37-1) :

– les organismes publics ;

– les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Le G29 distingue les activités de soutien, la paye ou l’informatique par exemple, des activités de base, qui concernent le cœur du métier de l’organisme (données sur la santé pour un hôpital par exemple). De même il entend de manière très large la notion de « suivi régulier et systématique », qui ne se limite pas à l’environnement en ligne ;

– les organismes dont les activités de base les amènent à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions (le G29 fournit des éléments significatifs pour déterminer ce que l’on entend par « grande échelle »).

Un groupe d’entreprises, ou un ensemble d’organismes publics, peuvent désigner un seul DPD (art 37-2 et 37-3). Bien entendu, la désignation d’un DPD est fortement recommandée par le G29, en tant que bonne pratique là encore.

Le délégué à la protection des données est désigné par le responsable du traitement, et le sous-traitant le cas échéant, sur la base de ses qualités professionnelles, « en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (art. 37-5). Plus les opérations de traitement sont complexes, plus les compétences attendues sont élevées.

Le DPD peut être interne ou externe à la structure, et dans ce dernier cas exercer sa mission sur la base d’un contrat. Si le prestataire est une équipe, les tâches de chaque membre doivent être spécifiées et un chef d’équipe désigné. Le G29 recommande que le DPD soit facilement « joignable » et donc qu’il soit établi dans l’Union Européenne. Toutefois, notamment quand le responsable du traitement ou le sous-traitant sont basés en dehors de l’Union Européenne, il est accepté que le DPD soit basé en dehors de l’U.E. s’il peut agir plus efficacement ainsi.

Le DPD ne se contente pas d’un rôle symbolique. Il doit être associé, par le responsable du traitement et le sous-traitant, « à toutes les questions relatives à la protection des données à caractère personnel » (art. 38-1). Il peut être contacté par toute personne dont les données personnelles sont traitées (art. 38-4). Il dispose des « ressources nécessaires » à l’exercice de ses missions, il a accès aux données et aux opérations de traitement, il doit même pouvoir « entretenir ses connaissances spécialisées » (art. 38-2). Par « ressources nécessaires », le G29 entend également le soutien par l’encadrement, le temps suffisant, les conditions matérielles et la formation. Le DPD est en quelque sorte sacralisé.

D’autant plus que son indépendance est garantie. Il ne peut en effet « recevoir aucune instruction en ce qui concerne l’exercice des missions » (art 38-3). Le responsable du traitement et le sous-traitant n’ont aucun pouvoir sur lui (ils ont toutefois celui de le nommer), qui n’a des comptes à rendre qu’au « niveau le plus élevé » de leur direction. Il est d’ailleurs soumis au secret professionnel et à l’obligation de confidentialité (art. 38-5).

Malgré son statut, le DPD n’est pas responsable en cas de non-respect du RGPD par la structure qui l’a missionné. Seul le responsable du traitement et/ou le sous-traitant sont responsables. Il n’y a qu’en cas de complicité d’infraction volontaire que sa responsabilité pénale pourrait être engagée.

Le délégué à la protection des données peut exercer d’autres missions et tâches, qui ne doivent pas entraîner de conflits d’intérêt (art. 38-6). Il est ainsi impossible qu’il exerce des fonctions qui le conduiraient à décider des finalités et des moyens de traitement des données à caractère personnel. Un DPD peut donc difficilement exercer des fonctions de direction de l’organisme ou travailler au sein du service chargé de la gestion des données. En 2015, la CNIL avait mené une étude pour déterminer les profils des correspondants informatique et libertés ; il en est ressorti qu’il n’existait pas de profil type : 47 % avaient un profil de type technique, 19 % un profil juridique, 10 % un profil administratif. On peut penser que, dans un premier temps au moins, cette absence de profil-type se retrouvera chez les DPD.

L’article 39 du RGPD liste les missions du délégué :

– informer et conseiller le responsable du traitement, le sous-traitant et les employés qui procèdent au traitement sur leurs obligations liées aux règles en matière de traitement des données à caractère personnel ;

– contrôler le respect du règlement, mais aussi sensibiliser et former le personnel participant aux opérations de traitement ;

– dispenser des conseils, si on le lui demande, à propos de l’analyse d’impact. Les lignes directrices du G29 donnent clairement un rôle majeur au DPD quant à cette analyse. Il doit être consulté sur l’opportunité, la méthodologie, le contenu et juger ensuite de sa qualité ;

– coopérer avec l’autorité de contrôle et être le point de contact pour elle. À l’heure où l’on écrit ces lignes, la CNIL élabore un formulaire de désignation du DPD.

Ce n’est pas dans l’article, mais le G29 ajoute une mission supplémentaire, et facultative, au DPD : « Rien ne s’oppose à ce que le responsable du traitement ou le sous-traitant confie au DPD la mission de tenir le registre des opérations de traitement effectuées sous la responsabilité du responsable du traitement ou du sous-traitant ». Peut-être est-ce une suggestion pour faciliter la circulation de l’information entre les différents acteurs ?

Ce ne serait pas inutile. Car à la fin de l’analyse de cette fonction, on se dit qu’il ne sera pas facile de trouver, même dans une grande entreprise, une personne à la fois compétente pour jouer ce rôle majeur, et dégagée de toute responsabilité dans le traitement des données afin d’éviter le conflit d’intérêts. Il n’est pas simple en effet d’être au courant des dispositions d’un règlement, et surtout de leurs conséquences, lorsqu’on n’a pas soi-même à les mettre en œuvre dans le cadre de son travail.

À ce stade, l’énoncé du problème pour nommer votre DPD est simple, même si c’est en fait trois énoncés distincts :

Le nommer à l’interne, les freins à battre en brèche sont multiples, comme le volet social, la renégociation du contrat de travail. En effet dans ca cas il est fort à parier que le périmètre de cette nouvelle mission n’était pas connue lors de la signature initiale du contrat.  Si on y ajoute la notion de risque, la subordination directe et exclusive à la gouvernance de l’entreprise et à nul autre, c’est une modification substantielle de contrat, c’est donc un nouveau contrat de travail. Et qui va l’évaluer en interne, le contrôler ? Et qui va faire son job, puisqu’il ne peut plus être juge et arbitre…

Le recruter, la demande s’envole. Le profil est tellement convoité par les majors et les middle qu’il y a une véritable inflation, parce que pénurie.  Et le problème reste entier, qui va l’évaluer et le contrôler ?

Dès lors, pourquoi ne pas déléguer cette fonction de DPD à un professionnel assermenté, qui pourrait jouer son rôle avec une compétence et une indépendance difficile à concilier en interne ? Le règlement ne dit rien de cette possibilité, et il faudra voir à l’usage si elle est envisageable et envisagée (rien n’empêche d’interroger la CNIL à ce sujet). Elle nous semble en tout cas intéressante, gage d’une relation vertueuse entre le responsable du traitement et le délégué à la protection des données.

Et puis pour finir, nous pouvons tout simplement décider de ne pas nommer de DPO, parce que tout bonnement vous n’en avez pas la stricte obligation.