Les modalités de désignation d'un délégué à la protection des données

Le DPO... on en parle !

Les modalités de désignation d'un délégué à la protection des données
Estelle Penin

Le Règlement général sur la protection des données (RGPD) a consacré la fonction de Data Protection Officer (DPO) ou Délégué à la Protection des données (DPD) dans sa traduction française.

Rendue obligatoire par le RGPD dans certains cas, la désignation d’un DPD (ou DPO) présente un double avantage :

  • faciliter le respect des règles et,
  • devenir un avantage concurrentiel pour les entreprises.

Cette fonction existait avant le RGPD pour les institutions européennes et en France au travers des correspondants informatique et libertés qui avaient des fonctions proches.

On peut définir le délégué à la protection des données comme la personne garante au sein d’une organisation du respect de la réglementation sur la protection des données.

Quand le désigner ? Pourquoi le désigner ? Dois-je le faire ? Qui désigner ?

Autant de questions qui nous ont poussé à rédiger un guide à ce sujet.

Nous abordons ici les étapes de la désignation du DPO.


Les étapes de désigation du DPO

Nous vous proposons un guide aux étapes de désignation d’un DPO.

  1. Première étape : Documenter votre démarche
  2. Deuxième étape : Déterminer si la désignation est obligatoire ou facultative du DPO
    • Autorité publique ou organisme public
    • Activité de base
    • A grande échelle
    • Suivi régulier et systématique
    • Catégories particulières de données et données relatives à des condamnations pénales et à des infractions
  3. Troisième étape : Vérifier les prérequis du DPO
    • Compétences
    • Moyens
    • Indépendance
  4. Quatrième étape : Effectuer les formalités liées à la désignation
    • Déclaration en ligne
    • La publicité de la désignation du DPO

Etape 1 : Documenter votre démarche

Que vous soyez dans l’obligation ou non de désigner un DPO, vous devez documenter votre choix.

Le comité européen de protection des données (EDPB), qui rassemble les autorités de protection des données européennes, a publié des lignes directrices le 13 décembre 2016.

Il recommande qu’une analyse interne soit systématiquement réalisée aux fins de démontrer que l’ensemble des facteurs pertinents furent bien pris en compte pour déterminer si la désignation du DPO est une obligation ou non pour l’entité concernée.

En pratique, il s’agit de créer sous la forme d’un fichier Word ou Excel une documentation indiquant que l’entité concernée a vérifié toutes les hypothèses de désignation obligatoires du DPO et détaillera en quoi ce critère est rempli ou non.

Cette documentation doit pouvoir être mise à disposition d’une autorité de contrôle, tel que la CNIL en France.

Découvez comment Dastra vous aide à documenter la nécessité d'avoir un DPO.

Etape 2 : Désignation obligatoire ou facultative du DPO ?

L'article 37.1 du RGPD prévoit trois cas de désignation obligatoire d’un DPO :

  1. Lorsque le traitement est effectué par une autorité publique ou un organisme public
  2. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
  3. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions

Si vous vous trouvez dans une de ces situations vous êtes dans l'obligation de procéder à la désignation d'un DPO.

Attention : le droit de l’Union ou des états membres peut exiger la désignation de DPO pour des associations représentants des groupes de responsables de traitements (conformément à l’article 37.4).

L’autorité de contrôle Italienne a prononcé une sanction de 75 000€ à l’encontre du Ministère du Développement économique Italien notamment pour ne pas avoir désigné un DPO et pour avoir publié les informations personnelles de plus de 5 000 personnes sur internet. (Voir l'ordonnance du 11 février 2021)

Cette décision démontre :

  • l’importance de la prise en compte du rôle du DPO
  • la nécessité de vérifier les cas obligatoires de désignation d’un DPO
  • que les entités publiques, au même titre que les entités privées, sont astreintes aux dispositions du RGPD

Etape 3 : Prérequis du DPO

Avant de désigner un DPO il est nécessaire de vérifier que trois conditions sont réunies :

Le DPO détient les compétences requises

La règlementation ne précise pas les qualités professionnelles à prendre en considération lors de la désignation du DPO.

Pour autant, il est nécessaire que le DPO dispose d’une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données ainsi que d’une connaissance approfondie du RGPD.

De même, le niveau d’expertise requis n’est pas strictement défini mais il doit être proportionné à la complexité et au volume des données traitées par un organisme.

A noter : la personne ayant vocation à être désignée DPO peut suivre une formation dans le but d’acquérir les compétences requises. De même, un mécanisme de certifications de compétences de DPO a été mis en place par la CNIL qui permet d'avoir un référentiel.

Enfin, la première préoccupation du DPO doit être le respect du RGPD, ainsi, le DPO joue un rôle clé dans la promotion d’une culture de la protection des données au sein de l’organisme et doit, par conséquent, faire preuve d’intégrité et de déontologie.

Le DPO peut exercer d'autres tâches mais il ne doit ne doit pas faire l'objet de conflits d'intérêts dans ses fonctions. En pratique, il ne doit pas participer aux décisions sur les finalités et moyens des traitements.

L'importance de vérifier les prérequis du futur DPO :

L’autorité de protection des données belge a prononcé le 28 avril 2020 une amende administrative de 50.000 euros contre Proximus SA, une entreprise belge de télécommunications, la première entreprise de télécommunications en Belgique, pour avoir insuffisamment vérifié que son délégué à la protection des données n’était pas en conflit d’intérêts.

Au délà du fait qu'il s'agisse du montant le plus important depuis le début des sanctions en Belgique, l'autorité a surtout insisté sur l'importance de la vérification des prérequis avant la désignation d'un DPO :

"Le DPO est censé servir de guide dans ces démarches. On ne peut donc pas être le conseiller et celui qui prend la décision comme c’était le cas chez Proximus".

Le DPO dispose de moyens suffisants

L’organisme doit fournir les ressources nécessaires à l’exercice des missions du DPO (article 38.2 du RGPD).

En somme, cela se traduit par :

  • Soutien actif de la fonction du DPO par l’encadrement supérieur
  • Temps suffisant pour que les DPOs puissent accomplir leurs tâches
  • Soutien adéquat du point de vue des ressources financières, infrastructures et du personnel, par exemple investir dans un outil
  • Communication officielle de la désignation du DPO à l’ensemble du personnel afin de veiller à ce que l’existence et la fonction de celui-ci soient connues au sein de l’organisme
  • Formation continue : permettre aux DPOs de maintenir leurs connaissances à jour voir d’augmenter constamment le niveau d’expertise

La CNIL luxembourgeoise, la CNPD, a déjà admis que la taille de l'entreprise ainsi que le temps consacré par le DPO à ses missions sont des éléments non négligeables dans le respect du RGPD.

Ainsi, au sein de la délibération n° 30FR/2021 du 4 août 2021, la formation restreinte de la commission prend note qu’il ressort du dossier d’enquête que le DPO consacre, en pratique, environ 70% de son temps de travail à ses missions de DPO.

Même en prenant en considération le fait que le DPO consacre plus de temps à ses missions de DPO que les 50% initialement prévus ainsi que le support fournit par l’intervention temporaire, jusqu’en mars 2019, d’un consultant externe, la formation restreinte estime que le DPO ne disposait pas du temps suffisant pour accomplir ses tâches, ceci notamment au regard de la sensibilité, de la complexité et du volume des données traitées par le contrôlé.

L'établissement public a été sanctionné financièrement et une injonction de mise en conformité sous quatre mois a été prononcée à titre de mesures correctrices.

Le DPO a la capacité d’agir en toute indépendance

Les DPOs doivent être en mesure d’exercer leurs missions avec un degré suffisant d’autonomie(article 38.3 du RGPD).

Par exemple, au titre de l’article 39 du RGPD, les DPOs ne doivent pas recevoir d’instructions sur la façon de traiter une affaire tel que la façon d’enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.

De même, le considérant 97 du RGPD indique que les DPOs « qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance »

Attention : l’autonomie et l’indépendance des DPOs ne signifie pas qu’ils disposent de pouvoirs de décision allant au-delà des missions leur incombant conformément à l’article 39 du RGPD.

En pratique cela ce traduit par trois conditions :

  • ne doit pas recevoir d’instruction dans l’exercice de ses missions
  • ne doit pas faire l’objet d’une sanction (licenciement, frein à l’avancement de carrière, etc.), du fait de l’accomplissement de ses missions
  • rendre directement compte auprès du niveau le plus élevé de la direction de l'organisme.

Etape 4 : effectuer les formalités lieés à la désignation du DPO

Déclaration en ligne

Il est nécessaire de déclarer son DPO auprès de son autorité de contrôle compétente.

Dans le cas de la France, la CNIL a créé un formulaire de déclaration en ligne.

C’est en principe le responsable légal, la plupart du temps le dirigeant de la société, qui doit remplir le formulaire. En pratique, c’est plutôt le futur DPO qui s’en occupe.

En cas de mutualisation du DPO, il faut veiller à remplir le formulaire pour chaque entité concernée.

Dastra vous aide dans la mise en conformité de votre structure. Découvrez notre solution.

Le formulaire se décompose en 3 parties :

  • La première partie du formulaire consiste à identifier la structure ;
  • La seconde partie vise à identifier le DPO ;
  • La troisième partie concerne les coordonnées publiques du DPO.

Les coordonnées du DPO sont rendues publiques par la loi afin que les personnes concernées puissent les saisir si nécessaire.

La publicité de la désignation du DPO

Il pèse une obligation sur le responsable de traitement de publier « les coordonnées du délégué à la protection des données et les communiquer à l'autorité de contrôle » (article 37.7 RGPD).

Ces exigences visent à garantir que les personnes concernées et les autorités de contrôle puissent aisément et directement prendre contact avec le DPO sans devoir s’adresser à un autre service de l’organisme.

  • Sur la communication des coordonnées du DPO

Les coordonnées du DPO doivent contenir des informations permettant aux personnes concernées et aux autorités de contrôle de joindre celui-ci facilement (une adresse postale, un numéro de téléphone spécifique et/ou une adresse de courrier électronique spécifique).

Le cas échéant, aux fins de la communication avec le public, d’autres moyens de communication pourraient également être prévus, par exemple, une assistance par téléphone spécifique, ou un formulaire de contact spécifique adressé au DPO sur le site web de l’organisme.

Attention la CNPD du Luxembourg a déjà prouvé dans sa délibération du 4 août 2021 qu'il s'agit d'une obligation à prendre sérieusement en considération, à titre d'exemple :

L’établissement public A devait avoir communiqué au 25 mai 2018 les coordonnées de son DPO à la CNPD

La communication des coordonnées du DPO n’a été faite que le 27 Septembre 2018

Le CNPD conclut que l’article 37.7 du RGPD n’a pas été respecté par l’établissement public A, s'en suit des mesures correctrices et d'amende.

  • Sur la communication du nom du DPO

Il n'y a pas d'exigence de publication du nom du DPO au grand public.

Toutefois, la communication du nom du DPO à l’autorité de contrôle est essentielle pour que le DPO puisse faire office de point de contact entre l’organisme et l’autorité de contrôle.

Testez vous !

Nous vous avons préparer un petite quizz afin de vérifier vos connaissances !

Venez le faire ici.


Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution. Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Authentification forte

Définition de l'authentification forte en sécurité des systèmes d'information

Estelle Penin

Mitigation

Définition de mitigation

Jérôme de Mercey

Authentification

Authentification

Estelle Penin

Un petit pas pour les DPOs, un grand pas pour la protection des données

Echappez dès maintenant à la pesanteur administrative et bénéficiez d'un essai gratuit à notre solution et vous constaterez sa simplicité d'utilisation.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement