Délégué à la protection des données

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir DPD et DPO.

En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données au sein d'une organisation.

Missions[modifier | modifier le code]

Ses missions principales sont : d'une part d'informer et de conseiller son organisation, et d'autre part de contrôler l'application des textes légaux et des règles internes en matière de données personnelles. Il fait office de point de contact entre son organisation et une autorité de contrôle nationale, comme la CNIL.

La désignation d'un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.

Au niveau européen, le Délégué à la protection des données est la personne chargée de la conformité au Règlement européen sur la protection des données personnelles (RGPD) au sein d'une organisation

Terminologie[modifier | modifier le code]

Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Beauftagter für Datenschutz en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater/responsabile della protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[1].

D’un point de vue sémantique, la loi informatique et libertés – dont le contenu va être totalement remanié – devant probablement conserver son appellation (ainsi que la Commission du même nom), il est probable que l’expression « correspondant informatique et libertés » (CIL) perdure et s’impose naturellement.

Les Délégués à la protection des données sont désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL). Leurs coordonnées seront rendues publiques.

Le rapport annuel de la CNIL pour l'année 2015[2] indique que 4 321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16 406 responsables de traitement, privés ou publics. Dans son rapport annuel pour 2018 « La CNIL en bref »[3] la CNIL indique que 39 500 organismes ont désigné un Délégué, ce qui représente 16 000 Délégués à la protection des données. Ce nombre devrait dépasser les 21 000 à la fin de l'année 2019.

Dans le cadre du basculement sur les nouvelles règles l’ Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, avait demandé que soit ménagée une « clause de grand-père » qui aurait permis à ces CIL qui le souhaitaient et qui répondaient aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».

Bénéfices à désigner un délégué à la protection des données[modifier | modifier le code]

La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :

  • Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
  • Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
  • Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL, et d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.

Activités[modifier | modifier le code]

Fonctions[modifier | modifier le code]

La fonction de Délégué à la protection des données est définie dans le Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97 et par sa section 4. La désignation d'un Délégué à la protection des données est obligatoire pour tout organisme répondant à l'un des critères suivants :

  • l'organisme est une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
  • les activités de base de l'organisme comportent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base de l'organisme comportent des traitements à grande échelle de catégories particulières de données (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d'identification, données concernant la santé, données concernant la vie sexuelle ou l'orientation sexuelle, condamnations pénales, infractions).

Dans les autres cas, les organismes peuvent désigner volontairement un délégué à la protection des données. Un délégué à la protection des données peut être mutualisé entre plusieurs organismes. Le délégué à la protection des données peut être un membre du personnel, ou exercer ses missions sur la base d'un contrat de service.

Missions[modifier | modifier le code]

Les principales missions du Délégué à la protection des données sont les suivantes :

  • Informer et sensibiliser, diffuser une culture « Informatique et Libertés » : le Délégué à la protection des données mène ou pilote des actions visant à sensibiliser la direction et les collaborateurs aux règles à respecter en matière de protection des données à caractère personnel ;
  • Veiller au respect du cadre légal : le Délégué à la protection des données veille en toute indépendance au respect du Règlement européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres et des règles internes de son organisme en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement. Il est, notamment, étroitement associé aux sujets suivants : EIVP (Étude d’impacts sur la vie privée), « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception) et notification des violations de données et communication aux personnes concernées. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement.
  • Informer et responsabiliser, alerter si besoin, son responsable de traitement : le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPD).
  • Analyser, investiguer, auditer, contrôler : le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
  • Établir et maintenir une documentation au titre de « l’Accountability » : le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle.
  • Assurer la médiation avec les personnes concernées : le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
  • Présenter un rapport annuel à son responsable de traitement : le Délégué à la protection des données rend compte de son action en présentant chaque année un rapport à son Responsable de traitement. Ce rapport est le reflet fidèle de son action au cours de l’année écoulée et fait état des éventuelles difficultés rencontrées.
  • Interagir avec l’autorité de contrôle : le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.

Profils[modifier | modifier le code]

Les actuels correspondants informatique et libertés sont de profils très hétérogènes. Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[4]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines.

Il est espéré que cette diversité perdure au sein des DPO, le métier étant accessible à tous du moment que le candidat complète ses connaissances.

Salaires[modifier | modifier le code]

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 $ et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 $ et 200 000 $ pour 13 % et entre 100 000 $ et 150 000 $ pour 37 %[5].

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100 000 $ et 200 000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75 000 $ et 150 000 $ par an dans le secteur public[6].

L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150 000 $ et 200 000 $ par an pour 9 % d’entre eux, entre 100 000 $ et 150 000 $ pour 26 % et entre 50 000 $ et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stocks options et 60 % des bonus[7].

Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47 000  brut par an.

Évolutions principales par rapport au correspondant informatique et libertés[modifier | modifier le code]

Le délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le délégué à la protection des données poursuive les tâches de l’actuel CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.

Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :

  • De facultatif, le délégué devient obligatoire dans plusieurs cas ;
  • Les sous-traitants, s’ils répondent aux critères, seront également dans l’obligation d’en désigner un ;
  • Les coordonnées du délégué seront rendues publiques ;
  • Les groupes d’entreprises auront plus de facilité pour désigner un délégué à la protection des données qui leur sera commun ;
  • Les responsables de traitement auront totale liberté pour désigner un délégué externe à l’organisme, alors que cette possibilité n’était offerte qu’aux organismes dont moins de cinquante collaborateurs ont accès aux données (Les DPO externes doivent souscrire à une Assurance responsabilité civile Professionnelle).

D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le délégué à la protection des données :

  • veille à ce que des analyses de risques et des études d’impacts pour les personnes concernées soient réalisées et mises à jour régulièrement concernant les traitements les plus sensibles ;
  • assure la nouvelle obligation d’Accountability prévue par le règlement général sur les données, qui nécessite d’apporter les preuves de la conformité, en produisant à l’autorité de contrôle, à la demande de cette dernière, des éléments de preuve (documentation, procédures et processus, plan de contrôle interne, recensement des risques, résultats d’audits et de mesures correctrices prises à leur suite, etc.) ;
  • fait en sorte que l’organisme notifie à la CNIL quand cela est nécessaire les violations aux traitements de données à caractère personnel, voire communique envers les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Bibliographie[modifier | modifier le code]

  • Collectif, Correspondant Informatique et Libertés : bien plus qu'un métier, édition AFCDP, 2015, 574 p. (ISBN 978-2-9552430-0-8)
  • Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés, éditions Lexis Nexis, collection « Droit & Professionnels », 2013, 374 p. (ISBN 978-2711018864)

Notes et références[modifier | modifier le code]

  1. Comparative analysis of Data Protection Officers, CEDPO, 2012
  2. Rapport annuel de la CNIL pour l'année 2015
  3. La CNIL en bref 2019
  4. « CNIL : Un métier d'avenir », sur cnil.fr, (consulté le 25 avril 2016)
  5. « Privacy Professional’s : Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  6. « Privacy Professional’s Role, Function and Salary Survey 2011 », sur iapp.org, (consulté le 25 avril 2016)
  7. « Data Protection Professional’s Role, Function and Salary Survey 2010 », sur iapp.org, (consulté le 25 avril 2016)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]