Délégué à la protection des données

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le Délégué à la protection des données (DPD) (en anglais : Data Protection Officer, DPO) est l’expression du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données), voté par le Parlement européen le 14 avril 2016 sur la base d’une proposition publiée par la Commission européenne le 25 janvier 2012.

Terminologie[modifier | modifier le code]

Le règlement européen remplace la Directive 95/46/CE sur la protection des données personnelles. Ce nouveau cadre juridique est appelé à remplacer les dispositions de la loi informatique et Libertés, qui s’appliquent jusqu’en mi-2018.

Le Délégué à la protection des données ou Data Protection Officer est une évolution du Correspondant à la protection des données à caractère personnel défini dans le titre III (articles 42 à 55) du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connu sous l’appellation de Correspondant Informatique et Libertés (CIL).

Cette fonction est définie dans le règlement européen principalement par le considérant 97 et par sa section 4. L’article 37 traite de la désignation du délégué à la protection des données, l’article 38 décrit ses fonctions et l’article 39 liste ses missions. L’expression Data Protection Officer est souvent utilisée sous sa forme d’acronyme DPO. Ce dernier est également décliné par certains en Data Privacy Officer. Elle est traduite par l’expression "Délégué à la protection des données" dans la version en langue française du règlement.

L’expression est également utilisée de façon moins restrictive pour désigner en langue anglaise tout professionnel désigné au sein d’un organisme, privé ou public, pour assurer sa conformité à la loi n°78-17 du 6 janvier 1978 modifiée, dite Loi informatique et libertés, la protection des données à caractère personnelles et la vie privée des personnes concernées. Dans sa version en langue anglaise, cette directive utilisait l’expression Personal Data Protection Official, traduit en Détaché à la protection des données à caractère personnel dans sa version en langue française.

Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Beauftagter für Datenschutz en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater/responsabile della protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[1].

D’un point de vue sémantique, la loi informatique et libertés – dont le contenu va être totalement remanié – devant probablement conserver son appellation (ainsi que la Commission du même nom), il est probable que l’expression « correspondant informatique et libertés » (CIL) perdure et s’impose naturellement.

Selon des modalités qui restent à définir, les Délégués à la protection des données devront être désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL) mi-2018. Leur identité sera rendue publique. Les délégués à la protection des données ne seront donc désignés auprès de la CNIL qu’à partir de cette période.

Le rapport annuel de la CNIL pour l'année 2015 indique que 4.321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16.406 responsables de traitement, privés ou publics. Dans le cadre du basculement sur les nouvelles règles l’ Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, demande que soit ménagée une « clause de grand-père » qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».

Dans l’attente des désignations des premiers délégués à la protection des données, la CNIL appelle à la désignation de correspondants informatique et libertés : « Recourir à un CIL est aujourd'hui le meilleur moyen pour une entreprise ou une administration de se préparer au règlement européen sur la protection des données personnelles à venir. Le CIL est en effet le « chef d'orchestre » interne de la conformité à la loi informatique et libertés, et sera rendu obligatoire dans de nombreux cas en 2018, dans le cadre du règlement européen. Entreprises et administrations ont donc intérêt à se doter dès maintenant de CIL pour monter en puissance en vue du règlement européen, et bénéficier ainsi de l'accompagnement de la CNIL »[2].

Désignation[modifier | modifier le code]

L’article 37 du Règlement général sur la protection des données traite de la désignation du délégué à la protection des données. Il dispose que

« 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

2. Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l'Union ou le droit d'un État membre l'exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle ».

Les critères évoqués par les points a, b et c seront sans doute précisés d’ici l’application effective du règlement[3].

Selon l’article 83, qui précise les conditions générales pour l'imposition d'amendes administratives, le défaut de désignation d’un délégué à la protection des données par un responsable de traitement concerné, délibérément ou par négligence ; pourra s'élever « jusqu'à 10 000 000 ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d’affaires annuel mondial total de l'exercice précédent ».

Il est également probable que des responsables de traitement désignent un délégué à la protection des données, même si leur organisme n’en a pas l’obligation, cette démarche participant au maintien de la confiance des personnes concernées (clients, prospects, usagers, administrés, patients, salariés, etc.) et à la réduction des risques qui pèsent sur eux[4]. Pour rappel, malgré le fait que la désignation d’un correspondant informatique et libertés soit facultative actuellement, plus de 16.000 dirigeants ont fait ce choix, considérant qu’il s’agit d’un atout et non d’une contrainte.

Selon une étude réalisée par la CNIL en octobre 2015 à l’occasion des dix ans du CIL, les CIL sont à 38 % des femmes et à 62 % des hommes. 39 % d'entre eux ont plus de 50 ans, 48 % ont entre 35 et 49 ans et 13 % entre 18 et 34 ans. 53 % des CIL font partie du secteur privé et 47 % exercent leurs fonctions au sein d’une structure de la sphère publique[5].

Bénéfices à désigner un délégué à la protection des données[modifier | modifier le code]

La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :

  • Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
  • Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
  • Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL, et d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.

Activités[modifier | modifier le code]

Fonctions[modifier | modifier le code]

L’article 38 du Règlement général sur la protection des données traite des fonctions du délégué à la protection des données. Il dispose que

  1. « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».
  2. « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées ».
  3. « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. »
  4. « Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement. »
  5. « Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres ».
  6. « Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts ».

Missions[modifier | modifier le code]

L’article 39 du Règlement général sur la protection des données traite des missions du délégué à la protection des données. Il stipule que

« 1. Les missions du délégué à la protection des données sont au moins les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ; b) contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ; c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ; d) coopérer avec l'autorité de contrôle ; e) faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».

Autres dispositions[modifier | modifier le code]

Le règlement général sur la protection des données, dans son considérant 77 et dans son article 36, indique le rôle du délégué à la protection des données concernant l’analyse des risques liés aux traitements de données personnelles et les études d’impacts pour les personnes concernées.

Le considérant 77 indique que « Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données ».

L’article 35, concernant l’analyse d'impact relative à la protection des données, indique que

« Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné ». L’article 36 indique que « 1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. …/… 3. Lorsque le responsable du traitement consulte l'autorité de contrôle en application du paragraphe 1, il lui communique: d) le cas échéant, les coordonnées du délégué à la protection des données ».

Les articles 13 et 14 indiquent les informations qui doivent être fournies aux personnes concernées par le responsable de traitement, selon que les données à caractère personnel sont collectées auprès de la personne concernée ou non. Dans les deux cas, la personne concernée doit être informée, le cas échéant, des coordonnées du délégué à la protection des données, afin de lui permettre de le contacter pour exercer ses droits, au titre du 4 de l’article 38.

L’article 30 indique que le registre des activités de traitement, tenu par chaque responsable de traitement et, le cas échéant, chaque sous-traitant, comprend les noms et les coordonnées du délégué à la protection des données.

L’article 33, relatif à la notification à l'autorité de contrôle d'une violation de données à caractère personnel, indique que la notification doit comprendre le nom et les coordonnées du délégué à la protection des données auprès duquel des informations supplémentaires peuvent être obtenues. L’article 34 reconduit cette même obligation dans le cas d’une communication aux personnes concernée par une violation de données à caractère personnel.

Enfin l'article 57 précise que « L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données ».

Ressources Humaines[modifier | modifier le code]

Formation[modifier | modifier le code]

L’article 38 du règlement européen précise que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.

Si aucun diplôme spécifique n’est exigé, le règlement renforce le besoin de formation[6]. Le temps est passé où il était possible d’être désigné sans avoir suivi un minimum de formation. Le débat se déplace maintenant sur la question du niveau de cette formation. Avec un risque de sanction pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un responsable de traitement ayant désigné un délégué à la protection des données a le droit d’être exigeant quant aux capacités de ce dernier de réduire réellement son exposition aux risques. Le Guide du Correspondant Informatique et Libertés publié par la CNIL indique d’ailleurs que « Lorsque le CIL ne dispose pas de l’ensemble des qualifications requises à la date de sa désignation, il devra les acquérir »[7].

Le métier exige des compétences juridiques, techniques (pour pouvoir interagir avec les informaticiens et garder un esprit critique), organisationnelles et en communication. Il faut aussi savoir résister au stress et défendre son indépendance[8]. Les connaissances requises doivent également avoir trait au domaine d’activité dans lequel le délégué à la protection des données exerce ses fonctions. Ainsi, les connaissances du CIL doivent aussi concerner les législations spécifiquement applicables à l’organisme (par exemple en matière de commerce électronique, de santé ou de travail).

Il est probable que les délégués à la protection des données de 2018 soient des anciens CIL confirmés dans leur position et, pour les nouveaux entrants, des personnes issues des métiers de la sécurité informatique, du droit, de la gestion du risque, de la conformité, ayant reçu les formations complémentaires indispensables.

Profils[modifier | modifier le code]

Les actuels correspondants informatique et libertés sont de profils très hétérogènes. Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[5]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines. Il est espéré que cette diversité perdure au sein des DPO, le métier étant accessible à tous du moment que le candidat complète ses connaissances.

Salaires[modifier | modifier le code]

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 et 200 000 $ pour 13 % et entre 100 000 et 150 000 $ pour 37 %[9]. L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100.000 et 200.000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75.000 et 150.000 $ par an dans le secteur public[10]. L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150.000 et 200.000 $ par an pour 9 % d’entre eux, entre 100 000 et 150 000 $ pour 26 % et entre 50 000 et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stocks options et 60 % des bonus[11].

Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47.000 € brut par an.

La montée en responsabilité interne du délégué à la protection des données, par rapport à l’actuel correspondant informatique et libertés, s’accompagnera vraisemblablement d’une hausse des salaires, pour se rapprocher de ce que l’on observe en Amérique du Nord, par exemple, où une société dont la réputation fut salie par une affaire de data breach n’a pas hésité à rémunérer son nouveau DPO à hauteur de 700.000 dollars plus bonus pour regagner la confiance de ses clients.

L’AFCDP propose depuis 2009 sur son site Web une rubrique « Carrière et Emplois » dédiée aux métiers liées à la conformité informatique et libertés (opportunités de stages, offres de postes, dépôt de candidatures).

Évolutions principales par rapport au Correspondant Informatique et Libertés[modifier | modifier le code]

Le délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le délégué à la protection des données poursuive les tâches de l’actuel CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.

Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :

  • De facultatif, le délégué devient obligatoire dans plusieurs cas ;
  • Les sous-traitants, s’ils répondent aux critères, seront également dans l’obligation d’en désigner un ;
  • Les coordonnées du délégué seront rendues publiques ;
  • Les groupes d’entreprises auront plus de facilité pour désigner un délégué à la protection des données qui leur sera commun ;
  • Les responsables de traitement auront totale liberté pour désigner un délégué externe à l’organisme, alors que cette possibilité n’est aujourd’hui offerte qu’aux organismes dont moins de cinquante collaborateurs ont accès aux données.

D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le délégué à la protection des données :

  • veille à ce que des analyses de risques et des études d’impacts pour les personnes concernées soient réalisées et mises à jour régulièrement concernant les traitements les plus sensibles ;
  • assure la nouvelle obligation d’Accountability prévue par le règlement général sur les données, qui nécessite d’apporter les preuves de la conformité, en produisant à l’autorité de contrôle, à la demande de cette dernière, des éléments de preuve (documentation, procédures et processus, plan de contrôle interne, recensement des risques, résultats d’audits et de mesures correctrices prises à leur suite, etc.) ;
  • fait en sorte que l’organisme notifie à la CNIL quand cela est nécessaire les violations aux traitements de données à caractère personnel, voire communique envers les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Bibliographie[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. Comparative analysis of Data Protection Officers, CEDPO, 2012
  2. « Rapport annuel de la CNIL 2015 », La CNIL en 2015 : pour une régulation performante, mot du Secrétaire Général de la CNIL, Edouard Geffray, sur cnil.fr, (consulté le 26 avril 2016), p. 12
  3. « "Work Programme 2016-2018- », Le groupe de travail institutionnel dit "article 29", en particulier, travaille sur des documents pouvant éclaircir le règlement., sur ec.europa.eu, (consulté le 26 avril 2016)
  4. « "J'ai désigné un correspondant informatique & libertés et je m'en félicite" », Recueil d'entretiens réalisés par l'AFCDP, sur afcdp.net, (consulté le 26 avril 2016)
  5. a et b « CNIL : Un métier d'avenir », sur cnil.fr, (consulté le 25 avril 2016)
  6. Rim Ferhah et Florence Bonnet, « Du correspondant Informatique et libertés au délégué à la protection des données », I2D - Informations, Données et Documents, no 52,‎ , p. 4 - 6 (lire en ligne)
  7. CNIL, « Guide du Correspondant Informatique & Libertés », sur cnil.fr, (consulté le 26 avril 2016), p. 10
  8. Ana Lutzki, « Le Cil : il protège vos données personnelles », Industrie et Technologie, no 925,‎ , p. 73-74 (lire en ligne)
  9. « Privacy Professional’s : Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  10. « Privacy Professional’s Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  11. « Data Protection Professional’s Role, Function and Salary Survey 2010 », sur iapp.org, (consulté le 25 avril 2016)

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]