Délégué à la protection des données

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir DPD et DPO.

En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne en charge de la protection des données au sein d'une organisation.

Missions[modifier | modifier le code]

Ses missions principales sont : d'une part d'informer et de conseiller son organisation, et d'autre part de contrôler l'application des textes légaux et des règles internes en matière de données personnelles. Il fait office de point de contact entre son organisation et une autorité de contrôle nationale, comme la CNIL.

La désignation d'un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.

Au niveau européen, le Délégué à la protection des données est la personne en charge de la conformité au Règlement européen sur la protection des données personnelles (RGPD) au sein d'une organisation

Terminologie[modifier | modifier le code]

Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Beauftagter für Datenschutz en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater/responsabile della protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[1].

D’un point de vue sémantique, la loi informatique et libertés – dont le contenu va être totalement remanié – devant probablement conserver son appellation (ainsi que la Commission du même nom), il est probable que l’expression « correspondant informatique et libertés » (CIL) perdure et s’impose naturellement.

Selon des modalités qui restent à définir, les Délégués à la protection des données devront être désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL) mi-2018. Leur identité sera rendue publique. Les délégués à la protection des données ne seront donc désignés auprès de la CNIL qu’à partir de cette période.

Le rapport annuel de la CNIL pour l'année 2015[2] indique que 4 321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16 406 responsables de traitement, privés ou publics.

Dans le cadre du basculement sur les nouvelles règles l’ Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, demande que soit ménagée une « clause de grand-père » qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».

Dans l’attente des désignations des premiers délégués à la protection des données, la CNIL appelle à la désignation de correspondants informatique et libertés : « Recourir à un CIL est aujourd'hui le meilleur moyen pour une entreprise ou une administration de se préparer au règlement européen sur la protection des données personnelles à venir. Le CIL est en effet le « chef d'orchestre » interne de la conformité à la loi informatique et libertés, et sera rendu obligatoire dans de nombreux cas en 2018, dans le cadre du règlement européen. Entreprises et administrations ont donc intérêt à se doter dès maintenant de CIL pour monter en puissance en vue du règlement européen, et bénéficier ainsi de l'accompagnement de la CNIL »[3].

Bénéfices à désigner un délégué à la protection des données[modifier | modifier le code]

La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :

  • Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
  • Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
  • Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL, et d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.

Activités[modifier | modifier le code]

Fonctions[modifier | modifier le code]

Missions[modifier | modifier le code]

Profils[modifier | modifier le code]

Les actuels correspondants informatique et libertés sont de profils très hétérogènes. Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[4]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines.

Il est espéré que cette diversité perdure au sein des DPO, le métier étant accessible à tous du moment que le candidat complète ses connaissances.

Salaires[modifier | modifier le code]

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 $ et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 $ et 200 000 $ pour 13 % et entre 100 000 $ et 150 000 $ pour 37 %[5].

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100 000 $ et 200 000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75 000 $ et 150 000 $ par an dans le secteur public[6].

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150 000 $ et 200 000 $ par an pour 9 % d’entre eux, entre 100 000 $ et 150 000 $ pour 26 % et entre 50 000 $ et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stocks options et 60 % des bonus[7].

Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47 000  brut par an.

Évolutions principales par rapport au correspondant informatique et libertés[modifier | modifier le code]

Le délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le délégué à la protection des données poursuive les tâches de l’actuel CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.

Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :

  • De facultatif, le délégué devient obligatoire dans plusieurs cas ;
  • Les sous-traitants, s’ils répondent aux critères, seront également dans l’obligation d’en désigner un ;
  • Les coordonnées du délégué seront rendues publiques ;
  • Les groupes d’entreprises auront plus de facilité pour désigner un délégué à la protection des données qui leur sera commun ;
  • Les responsables de traitement auront totale liberté pour désigner un délégué externe à l’organisme, alors que cette possibilité n’est aujourd’hui offerte qu’aux organismes dont moins de cinquante collaborateurs ont accès aux données.

D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le délégué à la protection des données :

  • veille à ce que des analyses de risques et des études d’impacts pour les personnes concernées soient réalisées et mises à jour régulièrement concernant les traitements les plus sensibles ;
  • assure la nouvelle obligation d’Accountability prévue par le règlement général sur les données, qui nécessite d’apporter les preuves de la conformité, en produisant à l’autorité de contrôle, à la demande de cette dernière, des éléments de preuve (documentation, procédures et processus, plan de contrôle interne, recensement des risques, résultats d’audits et de mesures correctrices prises à leur suite, etc.) ;
  • fait en sorte que l’organisme notifie à la CNIL quand cela est nécessaire les violations aux traitements de données à caractère personnel, voire communique envers les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Bibliographie[modifier | modifier le code]

  • Collectif, Correspondant Informatique et Libertés : bien plus qu'un métier, édition AFCDP, 2015, 574 p. (ISBN 978-2-9552430-0-8)
  • Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés, éditions Lexis Nexis, collection « Droit & Professionnels », 2013, 374 p. (ISBN 978-2711018864)

Notes et références[modifier | modifier le code]

  1. Comparative analysis of Data Protection Officers, CEDPO, 2012
  2. Rapport annuel de la CNIL pour l'année 2015
  3. « Rapport annuel de la CNIL 2015 », La CNIL en 2015 : pour une régulation performante, mot du Secrétaire Général de la CNIL, Édouard Geffray, sur cnil.fr, (consulté le 26 avril 2016), p. 12
  4. « CNIL : Un métier d'avenir », sur cnil.fr, (consulté le 25 avril 2016)
  5. « Privacy Professional’s : Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  6. « Privacy Professional’s Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  7. « Data Protection Professional’s Role, Function and Salary Survey 2010 », sur iapp.org, (consulté le 25 avril 2016)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]