Le délégué à la protection des données (DPO) : acteur clé de la conformité au GDPR dans les entreprises

Publié le 16 avril 2018 par
Les contributions n'engagent que leurs auteurs

Parmi les grandes évolutions apportées par le Règlement européen n° 2016/679 (General Data Protection Regulation ou « GDPR ») figure la désignation obligatoire d’un délégué à la protection des données.

Partagez cet article :

 

Parmi les grandes évolutions apportées par le Règlement européen n° 2016/679 (General Data Protection Regulation ou « GDPR ») figure la désignation obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais, ou « DPO ») pour un certain nombre d’organismes et d’entreprises, à partir du 25 mai 2018.

Quand la désignation d’un DPO est-elle obligatoire ?

La désignation du DPO incombe obligatoirement au responsable du traitement et à son sous-traitant dans certaines hypothèses en fonction du secteur – public ou privé -, de la nature, de la portée, de la finalité des opérations de traitement, ou encore lorsque le traitement concerne des données sensibles (données de santé, données relatives à l’origine raciale ou ethnique, appartenance religieuse) ou relatives à des condamnations pénales et à des infractions. Il en résulte, par exemple, que les traitements réalisés dans certains secteurs – banques, compagnies d’assurances, opérateurs de télécoms, e-commerce – entraîneront systématiquement l’obligation de désigner un DPO. . Quand bien même la désignation d’un DPO ne serait pas obligatoire, il est fortement recommandé à toute entreprise d’en désigner un, notamment aux fins de coordonner les actions à mener en vue d’assurer la conformité des traitements de données personnelles au GDPR (toute entreprise devant désormais, en vertu du principe de l’ « accountability », être en mesure d’apporter à tout moment la preuve du respect de ses obligations au GDPR)

L’avocat peut-il être le DPO ?

Le délégué à la protection des données, aux termes de l’article 37.5 du GDPR, est désigné sur la base de « ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions». Il existe un certain flou autour de la qualification professionnelle requise des futurs DPO, aucune condition de diplôme n’étant mentionnée dans le texte. Le niveau de qualification du DPO doit toutefois être proportionnel au degré de complexité des traitements mis en œuvre. Ainsi, le DPO peut être soit un salarié de l’entreprise (qui ne bénéficie pas du statut de salarié protégé à ce titre), soit un DPO extérieur, exerçant ses missions sur la base d’un contrat de service (art. 37.6). Dans cette dernière hypothèse, le DPO peut être un avocat dès lors qu’il ne s’expose pas à un conflit d’intérêts. A cet égard, il conviendra notamment de s’assurer, tout comme pour les DPO internes, qu’il n’est pas amené à déterminer les finalités et les moyens des traitements en cause.

Une chose est sûre : Un « DPO avocat » permet de bénéficier d’une expertise juridique accrue permettant de répondre aux complexités du GDPR, dans le respect du code de déontologie et du secret professionnel des avocats.

Quelles sont les missions du DPO ?

Le DPO devra à la fois informer et conseiller le responsable du traitement ou le sous-traitant (ainsi que les employés qui procèdent au traitement) sur les obligations qui leur incombent en vertu du GDPR ou du droit des Etats membres en matière de protection des données ; il contrôlera le respect du GDPR et du droit des Etats membres notamment la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.

En pratique, le DPO est censé faciliter l’accès par l’Autorité aux documents et informations sollicités dans le cadre de l’instruction d’une plainte ou dans le cadre d’un contrôle.

En toute hypothèse, le DPO ne pourra remplir pleinement ses missions que si la direction générale lui en donne les moyens (matériels et humains) et s’implique pleinement, tout comme les directions fonctionnelles (IT, RH, marketing, etc.), dans la mise en œuvre du programme de «data compliance » qu’impose désormais le GDPR à toutes les entreprises qui traitent des données personnelles.