Délégué à la protection des données
En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données personnelles au sein d'une organisation.
La fonction de DPO a été instaurée par les articles 37 et suivants du Règlement général sur la protection des données (RGPD) entré en application le 25 mai 2018, et étant applicable au sein des pays membres de l'Union européenne. La loi française Informatique et Libertés prévoit également des dispositions relatives au DPO.
La désignation d'un Délégué à la Protection des données est obligatoire pour certaines entités privées[1], ainsi que pour l'ensemble des autorités publiques ou organismes publics (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle)[2]. La fonction de DPO peut-être exercée par un salarié interne de l'entité ou par un DPO externalisé agissant sur la base d'un contrat de service.
Missions
Les principales missions du Délégué à la protection des données sont prévues par les dispositions de l'article 39 du RGPD[3]. Elles consistent à (i) informer et conseiller son organisation sur les obligations lui incombant en vertu des réglementations sur la protection des données personnelles, à (ii) contrôler le bon respect par son organisation des réglementations sur la protection des données personnelles, à (iii) dispenser des conseils en ce qui concerne la réalisation d'analyse d'impact relative à la protection des données[4], à (iv) coopérer avec l'autorité de contrôle, comme la CNIL en France, ainsi qu'à (v) faire office de point de contact entre son organisation et l'autorité de contrôle sur des questions relatives aux traitements de données personnelles mis en œuvre par son organisation.
La désignation d'un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.
Terminologie
Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Beauftragter für Datenschutz en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater/responsabile della protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[5].
Les Délégués à la protection des données sont désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL). Leurs coordonnées sont rendues publiques sur la plateforme data.gouv.fr[6].
Le rapport annuel de la CNIL pour l'année 2015[7] indique que 4 321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16 406 responsables de traitement, privés ou publics. Dans son rapport annuel pour 2018 « La CNIL en bref »[8] la CNIL indique que 39 500 organismes ont désigné un Délégué, ce qui représente 16 000 Délégués à la protection des données. Ce nombre devrait dépasser les 21 000 à la fin de l'année 2019.
Dans le cadre du basculement sur les nouvelles règles l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, avait demandé que soit ménagée une « clause de grand-père » qui aurait permis à ces CIL qui le souhaitaient et qui répondaient aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour exploiter les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».
Désignation selon le RGPD
Avant le règlement européen, désigner un correspondant informatique n’était pas une obligation légale. Avec le règlement européen la désignation peut se faire sous une forme non écrite. L’entrepreneur nomme le Délégué à la protection de données conformément au règlement et s’engage à informer immédiatement l’autorité de contrôle et à publier les coordonnées du représentant. Alternativement, les entrepreneurs peuvent opter pour un Délégué à la protection des données d’entreprise, à condition qu’il soit facilement joignable depuis n’importe quelle succursale. Cette option est particulièrement avantageuse pour les entreprises à l’échelle de l’UE disposant de plusieurs bureaux, car elle élimine la nécessité d’avoir plusieurs interlocuteurs, ce qui garantit une plus grande transparence et une plus grande sécurité dans le traitement et la gestion des données.
Une affectation externe n'est pas forcément nécessaire s'il existe un DPO interne possédant les qualifications appropriées. La méthode qui convient le mieux dépend de la forme et de la taille de l'entreprise ainsi que de la charge de travail du DPO.
Bénéfices à désigner un délégué à la protection des données
La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :
- Un renforcement de la sécurité juridique : la désignation d’un DPO permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
- Un renforcement de la sécurité informatique : le DPO conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
- Un vecteur de confiance avec les parties prenantes : la mise en place d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données personnelles.
C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.
Activités
Fonctions
La fonction de Délégué à la protection des données est définie dans le Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97[9] et par sa section 4[10]. La désignation d'un Délégué à la protection des données est obligatoire pour tout organisme répondant à l'un des critères suivants :
- l'organisme est une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
- les activités de base de l'organisme comportent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base de l'organisme comportent des traitements à grande échelle de catégories particulières de données (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d'identification, données concernant la santé, données concernant la vie sexuelle ou l'orientation sexuelle, condamnations pénales, infractions).
Dans les autres cas, les organismes peuvent désigner volontairement un délégué à la protection des données. Un délégué à la protection des données peut être mutualisé entre plusieurs organismes. Le Délégué à la protection des données peut être un membre du personnel, ou exercer ses missions sur la base d'un contrat de service.
Missions
Les principales missions du Délégué à la protection des données sont les suivantes (Art. 39[11]) :
- Informer et sensibiliser, diffuser une culture « Informatique et Libertés » : le Délégué à la protection des données mène ou pilote des actions visant à sensibiliser la direction et les collaborateurs aux règles à respecter en matière de protection des données à caractère personnel ;
- Veiller au respect du cadre légal : le Délégué à la protection des données veille en toute indépendance au respect du Règlement européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres et des règles internes de son organisme en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement. Il est, notamment, étroitement associé aux sujets suivants : EIVP (Étude d’impact sur la vie privée), « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception) et notification des violations de données et communication aux personnes concernées. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement.
- Informer et responsabiliser, alerter si besoin, son responsable de traitement : le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPD).
- Analyser, investiguer, auditer, contrôler : le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
- Établir et maintenir une documentation au titre de « l’Accountability » : le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle.
- Assurer la médiation avec les personnes concernées : le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
- Interagir avec l’autorité de contrôle : le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36[12] du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.
Profils
Les actuels Délégués à la protection des données sont de profils très hétérogènes.
Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[13]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines.
Cette diversité perdure au sein des DPO, puisque l'enquête menée en 2019 par la Délégation générale à l'Emploi et à la Formation professionnelle (DGEFIP) montre une répartition équilibrée entre les profils juridiques (31,1%), informatiques (34,9%) et autres (34%)[14]. Cette diversité se retrouve dans différents secteurs, avec une progression du profil juridique comme le confirment les enquêtes réalisées entre 2011 et 2019[15] par le réseau SupDPO : en 2019, il était composé de 38% de DPO à profil juridique, et 41% de DPO à profil informatique.
Bien que ce ne soit pas obligatoire, il existe des certifications pour devenir DPO. La CNIL a adopté le 20 septembre 2018 deux référentiels[16] en matière de certification des compétences du délégué à la protection des données :
- Un référentiel de certification, fixant les conditions de recevabilité des candidatures et une liste de 17 compétences et savoir-faire attendus pour être certifié DPO.
- Un référentiel d'agrément, fixant les critères applicables aux organismes qui souhaitent être habilités par la CNIL, à certifier les compétences du DPO sur la base du référentiel de certification.
Des formations de l'enseignement supérieur sont également dédiées au métier[17], tels que des mastères spécialisés et diplômes universitaires[18].
Salaires
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 $ et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 $ et 200 000 $ pour 13 % et entre 100 000 $ et 150 000 $ pour 37 %[19].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100 000 $ et 200 000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75 000 $ et 150 000 $ par an dans le secteur public[20].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150 000 $ et 200 000 $ par an pour 9 % d’entre eux, entre 100 000 $ et 150 000 $ pour 26 % et entre 50 000 $ et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stock options et 60 % des bonus[21].
Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47 000 € brut par an.
Évolutions principales par rapport au correspondant informatique et libertés
Le Délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le Délégué à la protection des données poursuive les tâches du CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.
Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :
- De facultatif, le Délégué devient obligatoire dans plusieurs cas ;
- Les sous-traitants, s’ils répondent aux critères, seront également dans l’obligation d’en désigner un ;
- Les coordonnées du Délégué seront rendues publiques ;
- Les groupes d’entreprises auront plus de facilité pour désigner un Délégué à la protection des données qui leur sera commun ;
- Les responsables de traitement auront totale liberté pour désigner un Délégué externe à l’organisme, alors que cette possibilité n’était offerte qu’aux organismes dont moins de cinquante collaborateurs ont accès aux données (les DPO externes doivent souscrire à une Assurance responsabilité civile professionnelle).
D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le Délégué à la protection des données :
- veille à ce que des analyses de risques et des études d’impact pour les personnes concernées soient réalisées et mises à jour régulièrement concernant les traitements les plus sensibles ;
- assure la nouvelle obligation d’Accountability prévue par le règlement général sur les données, qui nécessite d’apporter les preuves de la conformité, en produisant à l’autorité de contrôle, à la demande de cette dernière, des éléments de preuve (documentation, procédures et processus, plan de contrôle interne, recensement des risques, résultats d’audits et de mesures correctrices prises à leur suite, etc.) ;
- fait en sorte que l’organisme notifie à la CNIL quand cela est nécessaire les violations aux traitements de données à caractère personnel, voire communique envers les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
Sanctions en cas de transgression du RGPD
Jusqu’à présent, une amende maximale de 50 000 euros a été infligée pour défaut intentionnel ou négligent de désigner un délégué à la protection des données. À partir du 25 mai 2018, l’amende augmentera à 2 % du chiffre d’affaires annuel global jusqu’à 10 millions d’euros. L’autorité de surveillance se réserve le droit d’imposer une amende plus élevée. Les délégués à la protection des données doivent démontrer des qualifications différentes et être prêts à s'adapter aux changements dans les technologies de l'information. La formation continue et l'expertise juridique sont essentielles. Les personnes qui ne font pas partie du conseil de surveillance ou de la direction de la société sont des délégués à la protection des données. Même si la combinaison est autorisée, cette constellation peut entraîner des biais et entraver le respect du règlement de base sur la protection des données.
Les agences d’évaluation du crédit et les sociétés de traitement des données doivent, avec l’entrée en vigueur des OVDS de l’UE, être soumises au contrôle d’un Délégué à la protection des données, garantissant ainsi l’intégrité et la compétence de leur gestion des données. Le non-respect de cette obligation entraînera des amendes importantes pour l’entreprise concernée.
Le RGPD apporte de nouvelles exigences relatives au licenciement et à la cessation d’emploi d’un Délégué à la protection des données pour les autorités publiques et organismes privés. Les DPO font l'objet d'une protection spéciale contre le licenciement, le devoir de confidentialité et le droit de refuser de témoigner.
Bibliographie
- Le Data Protection Officer. Une nouvelle fonction dans l'entreprise, Bruxelles, éditions Bruylant, collection Minilex, 3e édition, 2020.
- Collectif, Correspondant Informatique et Libertés : bien plus qu'un métier, édition AFCDP, Paris, 2015, 574 p. (ISBN 978-2-9552430-0-8)
- Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés, éditions Lexis Nexis, collection « Droit & Professionnels », 2013, 374 p. (ISBN 978-2711018864)
Notes et références
- « Article 37 du RGPD - Désignation d'un délégué à la protection des données | CNIL », sur www.cnil.fr (consulté le )
- Florent Gastaud, « La nomination d'un Data Protection Officer (DPO) est-elle obligatoire ? », sur Mon DPO externe, (consulté le )
- « Article 39 - Missions du délégué à la protection des données | CNIL », sur www.cnil.fr (consulté le )
- « Article 35 - Analyse d'impact relative à la protection des données | CNIL », sur www.cnil.fr (consulté le )
- Comparative analysis of Data Protection Officers, CEDPO, 2012
- Jeu de données de la CNIL des organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO)
- Rapport annuel de la CNIL pour l'année 2015
- La CNIL en bref 2019
- « RGPD - Considérant 97 », sur colibri-dpo.com (consulté le )
- « RGPD - Section 4 », sur colibri-dpo.com (consulté le )
- « RGPD - Article 39 - Missions du Délégué à la protection des données », sur colibri-dpo.com (consulté le )
- « RGPD - Article 36 - Consultation préalable », sur colibri-dpo.com (consulté le )
- « CNIL : Un métier d'avenir », sur cnil.fr, (consulté le )
- Résultats de l'enquête "Mettre en œuvre le règlement général sur la protection des données", février-avril 2019
- Article et résultats de l'enquête 2019 du réseau des DPO de l'Enseignement supérieur, de la recherche et de l'innovation
- « Certification des compétences du DPO : la CNIL adopte deux référentiels | CNIL », sur www.cnil.fr (consulté le )
- Article "Quatre questions sur le métier de… délégué(e) à la protection des données" du 7 mars 2020
- Recensement des formations réalisé par le réseau SupDPO, dans le cadre d'un partenariat entre la CNIL et la CPU
- « Privacy Professional’s : Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le )
- « Privacy Professional’s Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le )
- « Data Protection Professional’s Role, Function and Salary Survey 2010 », sur iapp.org, (consulté le )
Voir aussi
Articles connexes
- Loi informatique et libertés
- Données personnelles
- Anonymat sur Internet
- Correspondant informatique et libertés
- Chartes du droit à l'oubli numérique
- AFCDP Association française des correspondants à la protection des données à caractère personnel
- RGPD (le règlement à l'origine du DPD/DPO)
- PIA (méthode et outil informatique)
Liens externes
- CNIL rubrique « Délégué à la Protection des Données (DPO) »
- Site de l'association française des correspondants à la protections des données personnelles
- CEDPO, Confederation of European Data Protection Organisations
- « Délégué à la protection des données », sur Commission européenne - European Commission (consulté le )