Actualité Wolters Kluwer

Désigner le DPD idoine

© ricochet64 - Getty images

Véritable chef d’orchestre de la conformité chargé d’informer, de conseiller mais aussi d’exercer un contrôle interne, le DPD doit être choisi avec soin par la DRH.

Le traitement de données à caractère personnel implique une série d'obligations visant à respecter un certain niveau de conformité qu’il n’est pas toujours facile d’atteindre.
 
Avant l’adoption du RGPD, le Groupe de l’article 29 (ci-après le « G29 »)  devenu Comité Européen de la Protection des Données (ci-après « CEPD ») faisait valoir que le CIL, (Correspondant Informatique et Libertés) - devenu « Délégué à la protection des données » (ci-après le « DPD » ou « Data Protection Officer », « DPO » en anglais) – était l’une des pierres angulaires du régime de responsabilité, et que sa désignation pouvait faciliter le respect des règles et, en outre, devenir un avantage concurrentiel pour les entreprises .
 
Le DPD est considéré comme le chef d’orchestre du système de gouvernance des données personnelles de la structure : il favorise le respect des règles grâce à la mise en œuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact ou d’audits relatifs à la protection des données) et agit comme intermédiaire entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).
 
La question de sa désignation constitue ainsi l’une des premières que chaque organisme se pose dans le cadre de sa mise en conformité avec le RGPD.
 
Si la réponse est positive, en suivront d’autres, au nombre desquelles figurent celles visant à déterminer :
- s’il est préférable, au regard de la structure de l’entreprise, de le désigner en interne ou si la recherche doit être externalisée ;
- quelle fiche de poste établir afin de définir les missions qui lui seront dévolues ;
- quel niveau de responsabilité lui sera confié ;
- comment, en pratique, faire état de sa désignation dans l’entreprise, vis-à-vis de la CNIL ou auprès du public extérieur.

DPD, pilote de la conformité

S’il est vrai que la directive 95/46/CE n’imposait à aucun organisme, avant l’entrée en vigueur du RGPD, de désigner un DPD, la pratique consistant à y procéder s’est néanmoins répandue dans plusieurs États membres au fil des ans.
L’entrée en application du RGPD, le 25 mai 2018, et notamment son article 37, paragraphe 1, a changé la donne en imposant la désignation d’un DPD dans trois cas spécifiques (voir tableau ci-après).
 
DPD OBLIGATOIRE
a) lorsque le traitement est effectué par une autorité publique ou un organisme public b) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées c) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions

Hormis ces cas, la désignation d’un DPD n’apparait pas obligatoire, même si elle est fortement recommandée par le CEPD .
En outre, afin de satisfaire l’obligation d’« accountability » pesant sur le responsable de traitement et le sous-traitant, il leur appartiendra de documenter l’analyse interne effectuée afin de déterminer s’il y a lieu de désigner un DPD. Cette analyse peut en effet être exigée par l’autorité de contrôle et devra être tenue à jour.
Observons de ce point de vue que lorsqu’un organisme désigne volontairement un DPD, il doit néanmoins respecter les conditions requises lorsqu’une telle désignation est obligatoire (conditions de la désignation, étendue des fonctions, missions).
 
Point d’attention : Il est rappelé que le fait de ne pas avoir respecté l’obligation de désigner un DPD (alors que celle-ci était impérative) peut être sanctionné par une amende pouvant atteindre 10 millions d’euros ou jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu  .

DPD interne ou externe : that is the question !

L’accompagnement d’un DPD est un réel facteur de protection pour l’entreprise elle-même, si ce délégué est doté de moyens adéquats et participe pleinement aux activités liées aux données personnelles. Il aidera l’organisme à contenir les risques de non-conformité et sera facteur de confiance des clients de l’entreprise.
 
Reste à savoir si celui-ci doit être désigné parmi les collaborateurs de l’entreprise ou s’il faut le trouver en externe.
Un DPD peut en effet être un membre du personnel du responsable de traitement (pour rappel : l’employeur) ou du sous-traitant (DPD interne) mais il peut aussi exercer ses missions sur la base d’un contrat de service (DPD externe). 
 
Dans tous les cas, le responsable de traitement et le sous-traitant veilleront à ce que le DPD ne reçoive aucune instruction s’agissant de l’exercice de ses missions . Le DPD doit en effet pouvoir exercer ses fonctions en toute indépendance  et évoluer avec un degré suffisant d’autonomie au sein de l’organisme. 
 
Il est, par exemple, contrindiqué (sans qu’il dispose pour autant de pouvoirs excédant ceux liés à sa mission), de lui fournir des directives sur la façon de traiter une affaire (quel résultat devrait être obtenu, comment enquêter sur une plainte etc.). 

DPD interne

Lorsqu’il est internalisé, le DPD peut être amené à effectuer d’autres missions et tâches, ce que le RGPD autorise . En pareille hypothèse, il appartient à l’organisme de veiller à ce que « ces missions et tâches n’entraînent pas de conflit d’intérêts ».
 
Cela signifie en particulier qu’il ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. 
 
En règle générale, il ne pourra ainsi, déontologiquement, être désigné parmi les membres occupant des fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi parmi ceux qui sont situés à un niveau inférieur de la structure organisationnelle dès lors que leurs fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. 

Remarque
La loi ne confère toutefois pas au DPD le statut de « salarié protégé » au sens du droit du travail : aucune procédure particulière ne s’applique en cas de licenciement ou de modification du contrat de travail contrairement aux représentants du personnel. 

DPD externe

Le choix du DPD externe peut également conduire à un conflit d’intérêts, dont il faudra se prémunir. Ce sera le cas, par exemple, si ce dernier est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.
Sur les avantages que présente l’attribution des fonctions de DPD à un organisme externe en regard de ses inconvénients, voir le tableau ci-après.
 

Quelle option choisir ?

L’externalisation de la mission de DPD semble présenter de nombreux avantages pour la majorité des PME, qui pourront profiter de l’expertise d’un professionnel disponible pour des missions précises, identifiées et limitées dans le temps. Cette solution aura notamment pour avantage de ne pas avoir à embaucher une personne dédiée.
Du côté des grands groupes, cela sera sans doute moins vrai. Le DPD y sera employé à sa tâche à plein temps. Il pourra même gérer une équipe entièrement consacrée à l’exercice de cette mission. 
Une solution intermédiaire pourrait être de désigner un DPD externalisé le temps de la mise en conformité de l’entreprise avec le RGPD, DPD qui serait ensuite chargé d’assurer un transfert de compétence vis-à-vis du collaborateur interne ayant vocation à reprendre sa mission et à assurer le maintien en condition opérationnelle.

Missions

Doté de bonnes capacités organisationnelles et d’une double casquette de juriste et de technicien, le DPD est en charge de toutes les actions qui entourent la protection des données personnelles.
Ses principales missions se retrouvent dans le schéma ci-après reproduit  .
 
Pour mener à bien sa mission, le DPD devra disposer des ressources nécessaires, ainsi que de l’accès aux données à caractère personnel et aux opérations de traitement.
Il doit de toute évidence lui être laissé un laps de temps suffisant pour réaliser les tâches dont il a la charge. Un soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel le cas échéant doit également lui être apporté. 
Naturellement, le DPD devra par ailleurs être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel» .

Fiche de poste du DPD idéal

Le RGPD n’impose pas aux organismes de profil particulier pour le DPD ; aucune exigence de diplôme ou d’agrément n’est prévue. 
Il peut donc être issu du monde juridique, d’une filière technique tel qu’un informaticien, ou de tout autre secteur. 

Remarque
Observons toutefois que la CNIL a agréé les certifications de « Délégué à la protection des données » de l’AFNOR (Numéro d'agrément : 2019-092) et du Bureau Veritas (Numéro d'agrément : 2019-121). Le fait d’avoir été certifié « Délégué à la protection des données » par l’un de ces deux organismes constituera ainsi un plus et garantira un certain niveau d’expertise.
 
Le DPD sera en tout état de cause désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39  ». 
 
Pour être désigné DPD, il nous semble ainsi que le candidat devrait pouvoir réunir les qualités et compétences suivantes : 
- une aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
- une expertise en matière de législations et pratiques concernant la protection des données, acquise notamment grâce à une formation continue ;
- une bonne connaissance du secteur d’activité et de l’organisation de l’organisme (et en particulier des opérations de traitement, de ses systèmes d’information et de ses besoins en matière de protection et de sécurité des données) ;
- un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’entreprise, et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).
Le RGPD précise  enfin que le niveau de connaissances spécialisées requis sera déterminé en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données personnelles traitées. 

Caractéristiques du rôle

Irresponsabilité

Les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. 
Le RGPD établit en effet clairement que c’est au responsable du traitement qu’il appartient de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions . 
A titre d’exemple, en vertu de l’article 30, paragraphes 1 et 2, c’est le responsable du traitement ou le sous-traitant, et non le DPD, qui doit tenir « un registre des activités de traitement effectuées sous [sa] responsabilité » ou « un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement ».
Rien ne s’oppose cependant à ce que cette mission soit confiée au DPD soit dans sa fiche de poste, soit dans sa lettre de mission.

Indépendance

Comme nous l’avons vu, le responsable du traitement doit veiller à ce que le DPD « ne reçoive aucune instruction en ce qui concerne l’exercice des missions ». Le considérant 97 indique en outre que les DPD, « qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance ».
Enfin, il faut signaler que le DPD ne pourra pas être relevé de ses fonctions ou pénalisé dans l’exercice de ses missions .
Les sanctions-prohibées, donc-susceptibles en pratique d’être prononcées à l’égard d’un DPD désigné en interne peuvent prendre des formes diverses. Elles peuvent être directes ou indirectes. 
Il peut s’agir, par exemple, d’absence ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres travailleurs. 
Cette exigence renforce l’autonomie des DPD et contribue à garantir que ceux-ci agissent en toute indépendance et bénéficient d’une protection suffisante dans le cadre de leurs missions.
Il n’en demeure pas moins que le DPD n’est pas, rappelons-le, un salarié protégé au sens des articles L.2411-1 et L.2411-25 du Code du travail.

Secret professionnel

Le délégué à la protection des données est soumis au secret professionnel / à une obligation de confidentialité en ce qui concerne les tâches qu’il accomplit à ce titre .

Remarque
Naturellement, ces obligations ne lui interdisent toutefois pas de prendre contact avec l’autorité de contrôle pour solliciter son avis . 

Communication

Lorsque l’entreprise fait le choix de désigner un DPD (qu’il soit interne ou externe) elle doit veiller à communiquer ses coordonnées à tous les salariés, de telle sorte que ces derniers puissent aisément et directement prendre contact avec lui en tant que de besoin. Concrètement, il conviendra de fournir à l’ensemble des collaborateurs l’adresse email ou le numéro de téléphone leur permettant de le joindre. Un formulaire de contact spécifique au DPD pourra également être prévu sur le site web de l’organisme.
Le CSE devra également être informé de cette désignation.
De la même façon, la CNIL devra être informée sans délai, par voie électronique des coordonnées du DPD nouvellement désigné, cette procédure devant être réitérée chaque fois qu’elles sont, le cas échéant, modifiées . 

Elise DUFOUR, Avocate associée, Bignon Lebray Avocats

Les cahiers du DRH
Social
Choisir votre version :

1120,00 € HT   929,60 € HT

1243,00 € HT   1031,69 € HT
image