Le Data Protection Officer E-Book

Pour toute information sur nos fonds et nos nouveautés dans votre domaine de spécialisation, consultez nos sites web via www.larciergroup.com.

© Lefebvre Sarrut Belgium SA, 2020

3e édition

Éditions Bruylant

Rue Haute, 139/6 – 1000 Bruxelles

Tous droits réservés pour tous pays.

Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent ouvrage, de le stocker dans une banque de données ou de le communiquer au public, sous quelque forme et de quelque manière que ce soit.

ISBN : 9782802767015

Collection des Minilex

Sous la direction d’Alain Bensoussan et de Jean-François Henrotte

La collection rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie d’actualité.

La collection s’adresse aussi bien aux étudiants qu’aux professionnels, soit pour un apprentissage exprès, soit pour une mise à jour des connaissances, dans le droit d’une technologie qui fait l’actualité.

Chaque sujet est traité de façon pratique et concise dans un format court.

Déjà parus dans la collection

– Règlement européen sur la protection des données. Textes, commentaires et orientations pratiques, 2e éd., Alain Bensoussan, 2018

• dans la série Codes Métiers :

– Code Informatique, fichiers et libertés, Alain Bensoussan, 2014

– Code de la sécurité informatique et télécom, Eric Barbry, Alain Bensoussan, Virginie Bensoussan-Brulé, 2016

• dans la série Handbook :

– Comparative handbook: robotic technologies law, Alain Bensoussan et Jérémy Bensoussan, 2016

• dans la série Abécédaire :

– La protection des données personnelles de A à Z, sous la direction d’Alain Bensoussan, 2017

• dans la série Minilex :

– Le droit des robots, Alain Bensoussan et Jérémy Bensoussan, 2015

– Failles de sécurité et violation de données personnelles, Virginie Bensoussan-Brulé et Chloé Torres, 2016

– Droit des drones. Belgique, France, Luxembourg, Alexandre Cassart, 2017

– Droit des objets connectés et télécoms, Frédéric Forster et Alain Bensoussan, 2017

– Le contract manager. Outils et bonnes pratiques de la fonction, Eric Le Quellenec et Alain Bensoussan, 2019

– Droit des systèmes autonomes. Véhicules intelligents, drones, seabots, Alain Bensoussan et Didier Gazagne, 2019

• dans la série Théorie et pratique :

– IA, robots et droit, Alain Bensoussan et Jérémy Bensoussan, 2019

Avant-propos

Successeur du correspondant informatique et libertés (CIL), fonction introduite en France par la réforme de la loi Informatique et Libertés de 2004, le « Data protection officer » (DPO) est un acteur clé de la nouvelle gouvernance interne de la protection de données personnelles.

Le règlement européen 2016/679 du 27 avril 2016 sur la protection des données rend quasiment obligatoire la désignation d’un « Data protection officer » (DPO) ou délégué à la protection des données (art. 37 à 39), pilote de la conformité de tout organisme aux nouvelles exigences du règlement.

Elle est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque.

Le DPO doit être désigné en fonction de ses qualités professionnelles, en particulier de son expertise en matière de protection des données, ainsi que de sa capacité à accomplir les missions qui lui sont dévolues, notamment celle de contrôler la mise en œuvre et l’application du règlement.

Il s’agit d’une nouvelle fonction au cœur de tout organisme dont la mission principale va être d’assister le responsable du traitement et le sous-traitant dans l’application du règlement général sur la protection des données (RGPD).

Pour ce faire, il devra recueillir les informations auprès des directions opérationnelles afin de connaître les opérations de traitement et apprécier leur conformité au cadre légal. Il devra également informer, conseiller et émettre des recommandations.

Pour assurer la supervision de la conformité, le DPO devra être compétent à la fois en droit des données, en technique et en organisation.

Ces connaissances spécifiques font désormais l’objet d’une certification selon deux référentiels adoptés par la Cnil septembre 2018, annexés au présent ouvrage.

Réalisé par des avocats et des Cil de grands groupes membres de l’Association Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience de correspondant à la protection des données.

La troisième édition de cet ouvrage, mise à jour et enrichie de nouvelles problématiques, fournit des informations sur les meilleures pratiques à mettre en œuvre à destination des DPO, entreprises, administrations, pouvoirs publics, universités, etc., notamment :

– Comment désigner un DPO ?

– Quel doit être son profil, sa formation, ses missions ?

– Quels sont les outils de conformité à mettre en place ?

– Comment organiser au mieux la fonction ?

– Quelles sont les nouvelles règles de gouvernance ?

– Quelles sont les obligations du DPO en matière de sécurité ?

– Quelles sont les responsabilités encourues par le DPO ?

– Sur quelles bases peut-il être sanctionné ?

– Quelles sont les obligations du DPO en matière de sous-traitance ?

– Quelles sont les particularités sectorielles banque, finance et assurance ?

– Une sanction pécuniaire administrative est-elle assurable ?

– Comment assurer le droit d’accès aux données par les personnes concernées ?

Présentation des contributeurs1.

Virginie Bensoussan-Brulé, Avocate à la Cour d’appel de Paris et Directrice du pôle Contentieux numérique, Lexing Alain Bensoussan Avocats. Elle est membre de l’Association Data Protection Officers et coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016), du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (2e éd., Larcier, 2018) et de La protection des données personnelles de A à Z (coll. Abécédaire, Larcier, 2017).

Nadine Chaussier, Deputy Data Protection Officer d’AXA France et administratice de l’Association Data Protection Officers.

Hind Chenaoui, Data Privacy & Information Security Lead, Accenture.

Dominique Entraygues, Déléguée à la protection des données et vice-présidente de l’Association Data Protection Officers.

Frédéric Forster, Avocat à la Cour d’appel de Paris et Directeur du département Banque et bourse électronique du cabinet Lexing Alain Bensoussan Avocats. Il est membre de l’Association Data Protection Officers et auteur du Minilex Droit des objets connectés et télécoms (Larcier, 2017).

Fabien Gandrille, Délégué à la protection des données d’Actuarium BigDatum, Administrateur de l’association Data Protection Officers, Auditeur de l’Institut des hautes études de défense nationale et membre de la Société des gens de lettres.

Bertrand Lapraye, Ingénieur et ancien Correspondant informatique et libertés du Groupe Alcatel Lucent en France.

Hélène Legras, Data Protection Officer ORANO (anciennement New Areva Holding) et vice-présidente d’honneur de l’Association Data Protection Officers.

Laurence Legris, Directrice des affaires juridiques, de la conformité et de l’éthique pour le Groupe Accenture (France, Belgique, Luxembourg, Maroc et Ile Maurice) et Administratrice de l’Association Data Protection Officers.

Amal Marc, Responsable juridique Cybersécurité et DPO Région Europe Capgemini.

Chloé Torres, Avocate à la Cour d’appel de Paris, Directrice du département Informatique et libertés et Déléguée à la protection des données du cabinet Lexing Alain Bensoussan Avocats. Elle est Secrétaire Générale de l’Association Data Protection Officers et coauteure du Minilex Failles de sécurité et violation de données personnelles (Larcier, 2016), du Règlement européen sur la protection des données : textes, commentaires et orientations pratiques (2e éd., Larcier, 2018) et de La protection des données personnelles de A à Z (coll. Abécédaire, Larcier, 2017).

Préface

d’Alain Bensoussan

Président et fondateur de l’Association Data Protection Officers

Le règlement européen 2016/679 sur la protection des données introduit la fonction de Data protection officer (DPO), ou délégué à la protection, comme garant de la conformité des traitements au sein de l’entreprise.

Le DPO est un nouveau métier de très haut niveau reconnu comme tel par deux référentiels de certification des compétences élaborés par la Cnil. Au-delà des nombreuses missions qui lui sont assignées (informer et conseiller le responsable du traitement, sensibiliser et former le personnel, contrôler le respect de la législation au sein de l’entreprise, coopérer avec l’autorité de contrôle, etc.), il doit surtout construire un nouveau modèle de gouvernance des données au sein de l’entreprise.

Le large spectre couvert par ses missions explique l’exigence du degré de compétences requis, qui sont aussi juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment aux nouvelles exigences de la protection des données dès la conception et par défaut. Il doit en effet pouvoir analyser de façon assez précise les aspects techniques avant de les qualifier juridiquement. Pour cette raison, il doit être rattaché à la direction exécutive de l’organisme.

Il est doté de compétences élargies par rapport au correspondant Informatique et libertés (Cil) auquel il s’est définitivement substitué. C’est un acteur incontournable du traitement des données à caractère personnel sur lequel les entreprises pourront s’appuyer dans leur démarche permanente de mise en conformité.

Sa désignation est une étape essentielle de la mise en conformité au règlement européen et à la loi Informatique et Libertés modifiée en juin 2019. Dans un monde hyperconnecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises. Pour ces dernières, la désignation d’un DPO est un des meilleurs moyens d’assurer une protection optimale des données.

Cet ouvrage réalisé par des avocats et des DPO de grands groupes membres de l’Association Data Protection Officers dont j’ai plaisir à signer la préface, s’inscrit pleinement dans cet objectif.

Comprendre le rôle et les missions du DPO, c’est en effet appréhender la nouvelle réglementation de la protection des données et renforcer ainsi la sécurité juridique des entreprises.

Fruit de réflexions, d’échanges et de concertation sur les meilleures pratiques à mettre en œuvre quant aux missions qui leur sont dévolues, la troisième édition de cet ouvrage recueille des témoignages de nouveaux experts dans le domaine de la banque et de la finance qui permettront d’accompagner au mieux les DPO dans leurs nouvelles fonctions.

Principales abréviations

ADPO :

Association Data Protection Officers

BCR :

Binding corporate rules

CA :

Cour d’appel

Cass. (com.) :

Cour de cassation, chambre commerciale

Cass. (crim.) :

Cour de cassation, chambre criminelle

C. civ. :

Code civil

C. pén. :

Code pénal

CE :

Conseil d’État

CEDH :

Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales / Cour européenne des droits de l’homme

CEPD :

Comité européen de la protection des données (ancien G29) / Contrôleur européen de la protection des données

CJCE :

Cour de justice des Communautés européennes (avant le 1-12-2009)

CJUE :

Cour de justice de l’Union européenne (après le 1-12-2009)

Cnil :

Commission nationale de l’informatique et des libertés

COE :

Conseil de l’Europe (Council of Europe)

Com. CE :

Commission des Communautés européennes

Com. UE :

Commission de l’Union européenne

Cons. CE :

Conseil des Communautés européennes

Cons. const. :

Conseil constitutionnel

Cons. UE :

Conseil de l’Union européenne

Décis. :

Décision

Décr. :

Décret

Délib. :

Délibération

Dir. :

Directive

DPD :

Délégué à la protection des données

DPO :

Data protection officer

DPIA :

Étude d’impact sur la vie privée

EDPB :

European data protection board

ENT :

Espace numérique de travail

IAF

International Accreditation Forum

IAPP :

Association internationale des professionnels de la vie privée

IFACI :

Institut français de l’audit et du contrôle interne

JO :

Journal officiel de la République française

JOCE :

Journal officiel des Communautés européennes (ancienne dénomination)

JOUE L ou C :

Journal officiel de l’Union européenne Législation ou Communication

Ord. :

Ordonnance

Règl. :

Règlement

RGPD :

Règlement général de protection des données

TGI :

Tribunal de grande instance

TPICE :

Tribunal de première instance des Communautés européennes

Trib. UE :

Tribunal de l’Union européenne

Sommaire

Avant-propos

Présentation des contributeurs

Préface

Principales abréviations

1. La désignation d’un DPO

2. Le portrait d’un DPO

3. Les missions du DPO

4. La réforme du droit de la protection des données

5. Les outils de conformité à mettre en place

6. L’organisation de la fonction

7. Les sanctions applicables

8. La sécurité et le DPO

9. Les règles de responsabilité

10. DPO et sous-traitant

11. Le DPO dans le secteur de l’assurance

12. Le DPO et la cyberassurance

13. Le DPO et le droit d’accès

14. Le DPO dans le secteur bancaire et financier

Liste des annexes

Annexe 1 : Référentiel de certification des compétences du DP0

Annexe 2 : Référentiel d’agrément d’organismes de certification pour la certification des compétences du DP0

Annexe 3 : Mesures d’évaluation du niveau de sécurité des données personnelles préconisées par la Cnil

Annexe 4 : Principales durées de conservation des données bancaires selon leurs finalités

Annexe 5 : Lexique

Annexe 6 : Bibliographie

Annexe 7 : Liste des figures et schémas

Annexe 8 : Index

1. La désignation d’un DPO

Laurence Legris

Administratrice de l’Association Data Protection Officers

1. Au 23 mai 2019, la Cnil estimait le nombre de Data protection officer a plus de 19 000 (personnes physiques ou morales) qui ont été désignés par plus de 53 000 organismes1..

2. Pour sa part, le Comité européen de la protection des données (CEPD)2., considère que le DPO est un des piliers de « l’accountability » et que, par la désignation d’un DPO, l’entité publique ou privée facilite la mise en conformité de son organisation aux dispositions du règlement européen et s’offre ainsi un avantage compétitif.

3. Les enjeux de la désignation d’un DPO s’inscrivent dans les fondements mêmes du règlement qui a pour vocation de renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques, telles que le profilage, les objets connectés ou l’intelligence artificielle.

4. En responsabilisant les acteurs, aussi bien le responsable de traitement que le sous-traitant, le règlement à travers les obligations d’« accountability », de protection des données dès la conception, de sécurité par défaut, fait du DPO un acteur majeur. Défini comme gardien du respect des obligations et de la mise en conformité de l’organisation dont il est en charge, sa désignation est par conséquent une décision clé pour les dirigeants. Elle entraîne de nombreuses questions incontournables :

– Cette désignation est-elle obligatoire ? Si oui, quand doit-il être désigné et quelles sont les conséquences d’une absence de désignation ?

– Dans le cas où un Cil a été nommé, doit-on désigner un DPO ? Le Cil est-il le DPO ?

– Si la désignation n’est pas requise, peut-on désigner volontairement un DPO ?

– Si oui, aurait-il les mêmes droits, devoirs et obligations qu’un DPO ?

– Qui doit-on désigner ? Un collaborateur ? Une société prestataire de services ?

– Peut-on recourir à un DPO mutualisé au sein d’un groupe ?

– Comment désigner le DPO ? Quelles sont les formalités ?

5. Les réponses à ces questions sont complexes, l’article 37 du règlement soulevant à sa lecture plus de questions que de réponses. Certaines d’entre elles peuvent cependant être trouvées dans les lignes directrices endossées par le Comité européen de la protection des données (CEPD)3., celles-ci proposant des clarifications et des illustrations par des exemples concrets.

1.1. Le caractère obligatoire de la désignation d’un DPO et ses conséquences

6. À la lecture de l’article 37 du règlement européen, des lignes directrices et de l’analyse des différentes positions prises par les régulateurs au cours des derniers mois, les critères applicables pour définir le caractère obligatoire de la désignation d’un DPO et ses conséquences semblent relativement définis.

1.1.1. Les critères de désignation

7. Le délégué à la protection des données devra être nommé tant au sein des organismes du responsable de traitement que du sous-traitant, au sens du règlement européen.

8. Le caractère obligatoire est fondé sur des critères relatifs aux risques et nullement sur la taille de l’entreprise concernée. En effet, le premier alinéa de l’article 37 du règlement européen prévoit trois cas de désignation obligatoire d’un DPO :

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

9. Autorité publique ou organisme public – Le DPO devient obligatoire dans toutes les administrations (État, administrations territoriales, etc.), sauf au sein des juridictions agissant dans l’exercice de leur fonction juridictionnelle.

10. Cette désignation obligatoire risque d’entraîner une petite révolution au sein de l’administration centrale, celle-ci étant aujourd’hui très peu dotée de Cil. Selon la Cnil, en juillet 2019, 11 818 communes ont nommé un DPD, tout comme 250 communautés de communes sur 1 000 (contre seulement 96 en septembre 2018), 53 communautés d’agglomérations sur 222 (32 en septembre 2018), 22 métropoles sur 22 (17 en septembre 2018), 89 départements sur 101 (73 en septembre 2018) et 12 régions sur 134..

11. Le périmètre d’application du DPO obligatoire pour les autorités publiques ou organismes publics demeure cependant assez flou, le règlement européen ne définissant pas précisément les caractéristiques d’une autorité publique ou d’un organisme public. Les lignes directrices du CEPD5. renvoient aux définitions légales de chaque État. Ces organismes peuvent exister à plusieurs niveaux soit au niveau national, régional et local.

12. En droit français, il n’existe pas de définition formelle et unique. Une approche consiste à s’appuyer sur l’Ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics. L’Ordonnance, en effet, nous propose une définition large des organismes relevant de la sphère publique et par conséquent de la commande publique. Il est à noter que cette Ordonnance s’appuie sur une réglementation européenne.

13. L’Ordonnance recouvre sous la notion de « pouvoir adjudicateur » et « d’entités adjudicatrices », les personnes morales de droit public, les personnes morales de droit privé poursuivant une mission d’intérêt général et financées principalement sur fonds publics. Elle couvre également les personnes morales de droit privé constituées par des pouvoirs adjudicateurs en vue de réaliser des activités en commun, les entités ou les entreprises publiques exerçant des activités d’opérateur de réseaux et les organismes de droit privé bénéficiant de droits spéciaux ou exclusifs ayant pour effet de leur réserver l’exercice d’une des activités des activités d’opérateur de réseaux et d’affecter substantiellement la capacité des autres opérateurs à exercer cette activité. On vise ainsi de manière évidente, l’État et les établissements publics, les collectivités territoriales, mais aussi la sécurité sociale, EDF, le Réseau Ferré de France, la SNCF ou les aéroports.

14. Cette analyse semble cohérente avec l’approche du CEPD qui rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le CEPD recommande d’ailleurs que les opérateurs de réseaux, y compris privés gérant des secteurs tels que les transports publics, l’eau, l’énergie, les infrastructures routières, les ordres professionnels des professions réglementées nomment un DPO, même s’il n’est pas obligatoire par l’application stricte du règlement européen. En effet, le CEPD considère que ces organismes traitent les données pour des finalités proches des autorités publiques et souvent dans des conditions identiques en termes de protection des droits, la personne concernée ayant peu de choix6..

15. En tout état de cause, il faudra être vigilant eu égard au caractère flou de ces notions, la jurisprudence du Conseil d’État sur l’application de la commande publique étant par exemple extrêmement complexe. Les positions de la Cnil seront par conséquent attendues par les professionnels.

Figure 1. Que retenir sur l’obligation de désigner un DPO ?

16. Organismes privés. Aujourd’hui, 39 500 organismes sont dotés d’un DPO, ce qui représente 16 000 DPO7.. La liste des organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) est mise à jour tous les mois par la Cnil sur le site Data.gouv.fr8..

17. Il est important en préliminaire de noter que le règlement européen impose la désignation d’un DPO à tout type d’établissement, qu’il réponde à la qualification de responsable de traitement ou de sous-traitant sur le territoire de l’Union européenne et ce, quelle que soit sa structure juridique (société, GIE, succursale, etc.). Le considérant 22 du règlement précise en effet que l’établissement suppose « l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ».

18. L’article 37 du règlement prévoit deux cas pour lesquels la désignation d’un DPO est obligatoire pour les organismes privés :

– les responsables de traitement et les sous-traitants ayant des activités de base qui consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

– les responsables de traitement et les sous-traitants ayant des activités de base qui consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (données sensibles) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

19. On notera dans un premier temps que la nature même des données traitées (sensibles ou non) ou la qualité de la personne concernée (mineur, par exemple) ne doivent pas être uniquement prises en compte pour qualifier le caractère obligatoire ou non de la désignation d’un DPO au sein d’une entreprise privée. De la même manière, l’importance de l’organisme privé n’est pas un élément déterminant ; une PME pourra ainsi se voir soumise à la désignation obligatoire d’un DPO par la nature de son activité.

20. Le règlement européen s’attache dans son article 37 à deux concepts cumulatifs :

– les « activités de base » du responsable de traitement ou du sous-traitant ;

– le traitement « à grande échelle des personnes concernées ».

21. Activités de base. Pour ce qui concerne « les activités de base », le CEPD rappelle que le considérant 97 du règlement précise que « [d]ans le secteur privé, les activités de base d’un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire ». Le CEPD qualifie les activités de base comme les opérations « clés » nécessaires au responsable de traitement ou au sous-traitant pour réaliser le cœur de son activité. Sont par conséquent, exclues de cette définition, les activités de support, qui sont accessoires à l’activité. En d’autres termes, les traitements inhérents à l’activité, c’est-à-dire indissociables de l’activité sont considérés comme une activité de base, alors que les traitements nécessaires, mais relevant du support à tout fonctionnement d’une activité ne sont pas qualifiables d’activité de base.

22. Un traitement de données des patients pour un hôpital est qualifiable d’activité de base car il est au cœur de l’activité de fourniture de soin ; il en est indissociable, alors que le traitement de gestion des ressources humaines ne constitue qu’une activité de support au fonctionnement.

23. Traitement à grande échelle. La notion de traitement à grande échelle n’est pas définie par le règlement européen. Elle apparaît cependant au considérant 91 du règlement relative aux analyses d’impacts. Le régulateur précise que des opérations de traitement à grande échelle « visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées (...). Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel ». On s’attachera par conséquent à retenir soit le critère du nombre de personnes concernées, soit celui du volume de données ou de l’étendue géographique du traitement.

24. Les exemples cités par le CEPD couvrent des organismes de tailles importantes telles que des chaînes de restaurant exploitant les données de géolocalisation de leurs clients ou les données traitées par des fournisseurs d’accès à Internet.

25. Une fois l’activité de base définie et les traitements y afférents qualifiables de traitements à grande échelle, il faudra s’interroger pour savoir si ces traitements entraînent un « suivi régulier et systématique à grande échelle des personnes concernées » ou portent sur des données visées à l’article 9 du règlement, c’est-à-dire des données sensibles ou des données relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement.

26. S’il n’est pas nécessaire d’expliciter la notion de données sensibles, connue depuis les premières lois informatiques et libertés ou celle de données relatives à des condamnations, on peut légitimement s’interroger sur la notion de « suivi régulier et systématique ».

27. Suivi régulier et systématique. Le CEPD précise que « le suivi régulier et systématique » comprend sans aucune ambiguïté le profilage sur Internet, notamment en vue d’opérations de marketing. On ne saurait cependant restreindre ce suivi régulier et systématique au monitoring lors de la navigation sur Internet. Le CEPD propose des critères d’interprétation. Un suivi régulier peut notamment être caractérisé par :

– un suivi qui intervient à intervalle régulier ou pendant des périodes prédéfinies ;

– un suivi récurrent.

28. Pour analyser si le traitement est systématique, on peut retenir le ou les critères suivants :

– une occurrence régulière ;

– une méthode d’analyse prédéfinie, structurée ;

– un suivi s’opérant dans le cadre d’un plan plus général de collecte de données.

Figure 2. Que retenir sur les critères de désignation d’un DPO ?

1.1.2. Les conséquences de la non-désignation d’un DPO obligatoire

29. Le règlement européen prévoit une amende administrative en cas de non-respect des obligations en matière de désignation d’un DPO. Il prévoit en outre la possibilité pour l’autorité de contrôle d’agir sur le droit même de réaliser les traitements et par conséquent, d’agir au cœur de l’activité du responsable de traitement ou du sous-traitant. Enfin, on ne peut négliger le rôle du marché qui devrait réguler les pratiques.

30. Sanctions pécuniaires. L’autorité de contrôle a la possibilité de prononcer des sanctions pécuniaires. Le responsable de traitement et le sous-traitant qui ne respectent pas leurs obligations en matière de désignation ou de missions confiées au DPO, encourent une sanction pouvant s’élever jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu9..

31. Pour décider du montant de l’amende administrative, l’autorité de contrôle prendra en compte notamment le fait que la violation a été commise délibérément ou par négligence ou encore le degré de coopération établi avec l’autorité de contrôle pour remédier à la violation et en atténuer les éventuels effets négatifs10..

32. Limitations au droit d’opérer. L’autorité de contrôle a le pouvoir de notifier la violation des dispositions du règlement européen. À ce titre, elle peut imposer d’une part, une limitation temporaire ou définitive (interdiction) du traitement et d’autre part, d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale11..

33. Régulation par le marché. L’absence de désignation d’un DPO peut avoir un impact direct sur le développement commercial d’une société ayant des relations avec des donneurs d’ordre. En effet, le règlement européen impose à chaque responsable de traitement de faire uniquement appel à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée »12..

34. On peut par conséquent anticiper le fait que lors de leurs audits de sélection, les responsables de traitement s’assureront de la désignation d’un DPO, acteur clé de la conformité aux dispositions du règlement européen.

Figure 3. Recommandations sur la désignation d’un DPO

1.2. Qui désigner, comment et quand ?

35. Une fois les hypothèses de désignation obligatoire analysées, tout responsable d’un organisme s’interroge légitimement sur la personne à désigner, les conditions du choix et la procédure à mettre en place.

1.2.1. Qui désigner ?

36. Lorsqu’un Cil (correspondant informatique et libertés13.) existe au sein de l’entreprise, prend-il naturellement la place du DPO ? Doit-on désigner un expert parmi les membres de l’entreprise ? Peut-on conclure un contrat avec un prestataire de services ?

37. La réponse à ces questions n’est pas unique ; elle doit prendre en compte le contexte de l’entreprise et la nature des traitements mais également les compétences et le profil du DPO14..

38. Le correspondant informatique et libertés. Avant la mise en place du RGPD, 17 500 organismes étaient dotés d’un Cil. Il est essentiel de noter que la désignation d’un Cil ne dédouane pas de la désignation d’un DPO, si celle-ci s’avère obligatoire en application de l’article 37 du règlement. En effet, leurs rôles respectifs ne sont pas identiques de même que les compétences requises.

39. Il est incontestable que le Cil par son expérience de la conformité dans ce domaine et sa connaissance de l’entreprise et des flux de données de celle-ci est un candidat à privilégier. Cependant le règlement européen exige des compétences autres, notamment juridiques, qui n’étaient pas requises pour la nomination d’un Cil.

40. Le règlement européen, pas plus que la loi française ne prévoient une évolution automatique du Cil au DPO. La Cnil considère toutefois que « le délégué à la protection des données est le successeur naturel du correspondant Informatique et Libertés (“CIL”) »15..

41. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) souhaite la mise en place d’une « clause du grand-père », qui permettrait aux Cil répondant aux conditions, et le désirant, de devenir DPO, « ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi ». Toutefois, cette revendication ne semble pas entendue par les autorités françaises notamment du fait que les missions et la responsabilité du DPO sont différentes et peuvent exiger des compétences et un positionnement distinct dans l’entreprise.

42. En conséquence, il appartient à chaque responsable d’organisme de trancher en prenant en compte la compétence du Cil, son positionnement actuel et son expérience. Il n’est pas interdit en outre d’envisager de conserver un Cil et de désigner un DPO, chacun conservant son périmètre de responsabilité.

43. Les organismes ayant désigné un Cil ont eu jusqu’à mai 2018, pour indiquer à la Cnil leur choix quant à la commutation des fonctions.

Figure 4. Que retenir sur la commutation des fonctions Cil – DPO ?

44. Un collaborateur, une société externe. Lors de l’étude de risque relative à la nomination du DPO, on peut légitimement s’interroger sur une désignation d’un délégué interne (collaborateur) ou une désignation d’un délégué externe (expert, société externe).

45. L’alinéa 6 de l’article 37 du règlement européen précise que « [l]e délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ». Les deux voies sont par conséquent ouvertes.

46. Le DPO peut être un salarié de l’entreprise, un indépendant, une société de services, ou encore un cabinet d’avocats. S’agissant du recours à un DPO externe à l’organisation, on notera que le seuil des 50 personnes prévu à l’article 44 du décret d’application de la loi Informatique et Libertés abrogé16. interdisant la désignation d’un Cil externe a disparu. Le recours à des prestataires devrait donc se développer et sans doute, conduire à terme, à une véritable professionnalisation des DPO.

47. Le choix ne pourra s’effectuer qu’au cas par cas en fonction de la nature de l’organisme, son organisation, sa maturité sur la protection des données et ses moyens.

48. Une organisation complexe nécessitera probablement la désignation d’un délégué interne à plein temps ayant une connaissance précise de l’entreprise, des intervenants et de la culture propre à celle-ci. Elle pourra ainsi définir des procédures efficaces et ciblées au regard des risques encourus. En revanche, la désignation d’un délégué interne à temps partiel pourra faire pencher vers une mutualisation et par conséquent, le recours à une société de services par exemple.

49. Dans d’autres cas, le choix d’externaliser cette fonction via un contrat de prestation de services pourrait être une solution stratégique tant au niveau de la gouvernance interne (comment assurer l’indépendance d’un membre du personnel pour une fonction aussi sensible ?) que des coûts financiers.

50. Il n’y a pas de réponse parfaite ou unique. On notera que le CEPD rappelle qu’un DPO prestataire de services doit répondre aux exigences fixées par le règlement européen et en particulier celles précisées aux articles 37 à 39 relatifs au statut de délégué à la protection des données. En conséquence, le choix de ce dernier devra être réfléchi et appuyé par des garanties contractuelles sérieuses.

Figure 5. Que retenir sur le choix d’un délégué interne ou externe ?

1.2.2. Comment désigner un Cil ?

51. Les modalités de désignation du DPO ne sont pas clairement définies par le règlement européen. On peut s’interroger sur les formalités et la publicité de la désignation, la date de désignation et le lieu de cette désignation, en cas d’établissements multiples en France et/ou sur le territoire de l’Union européenne.

52. Les formalités. La désignation du DPO collaborateur ou prestataire de services doit faire l’objet d’une déclaration auprès de l’autorité de contrôle. La Cnil indique sur son site qu’un formulaire de désignation en ligne sera disponible prochainement, cette désignation prenant effet le 25 mai 2018. Le contenu de ce formulaire est en actuellement cours d’élaboration. On peut penser qu’à l’instar du Cil, une information des instances représentatives du personnel (membres du comité d’entreprise) soit requise.

53. La désignation d’un DPO collaborateur. Le RGPD ne fixe aucune règle concernant la désignation d’un DPO collaborateur. On devra par conséquent s’interroger sur son rattachement au sein des instances dirigeantes (Direction juridique, Direction de la conformité, Direction générale, etc.). Ce rattachement propre à chaque organisation devra répondre aux critères d’indépendance fixés par le règlement européen.

54. En tout état de cause, il semble essentiel que le DPO, partie prenante du programme de conformité de l’entreprise soit nommé ou confirmé par une instance de gouvernance (conseil d’administration, directoire, Président d’une SAS), une pratique incontestée de tout programme de conformité exigeant l’engagement des instances dirigeantes.

55. Il faudra également s’interroger sur le rôle des instances représentatives du personnel. Il faut en effet rappeler que selon les recommandations de la Cnil, la désignation d’un Cil doit faire l’objet d’une information auxdites instances.

56. Enfin, le contrat de travail du DPO devra être adapté à la nature de la fonction. En effet, ce collaborateur aura un statut particulier, le DPO devant s’inscrire dans une relation d’indépendance vis-à-vis de son employeur et ce, dans le cadre inhérent au contrat de travail prévoyant un lien de subordination.

57. À ce titre le CEPD précise que le DPO ne pourra pas être sanctionné au titre de l’exécution de sa mission. Si on pense immédiatement aux modalités d’un licenciement, on doit également s’interroger sur les modalités de la rémunération du DPO et notamment, des éventuelles rémunérations variables qui peuvent être en vigueur au sein des entreprises.

58. Cela devra entraîner une réflexion sur la mise en place ou non de bonus de performances afin d’éviter toute discrimination liée à la rémunération ou à l’évolution de carrière du DPO. Enfin, il faudra s’assurer que cette désignation n’entraîne pas de conflits d’intérêts.

59. On ne saurait que trop recommander aux organismes de fixer des règles claires et objectives et de documenter toutes les décisions prises dans ce domaine.

60. La désignation d’un DPO prestataire de services. Dans le cas où l’organisme opterait pour un DPO externe, la désignation sera effective par la conclusion d’un contrat de service. En effet, le CEPD précise que cette désignation devra être réalisée dans le cadre d’un contrat de service signé entre le DPO (personne physique ou morale) et l’organisme qui le désigne.

61. En termes de gouvernance, le CEPD précise que dans le cas où une équipe du prestataire serait en charge des responsabilités afférentes au DPO, une personne en particulier devra être désignée comme contact principal (« leader »). Il sera essentiel de s’assurer qu’aucun des membres ne puisse être en situation de conflit d’intérêts.

62. Enfin, le CEPD précise que les membres de l’équipe pourront réunir des compétences complémentaires et qu’ainsi chaque membre n’a pas l’obligation de réunir toutes les compétences requises par le règlement européen. Il semble légitime de penser, qu’eu égard à son rôle, celui qui prendra les rênes du projet devra avoir l’ensemble desdites compétences.

63. Les règles applicables au DPO devront être documentées afin de clarifier les termes de la relation contractuelle, notamment concernant l’indépendance. En conséquence, il semble que les recommandations suivantes devraient être prises en compte lors de la rédaction du contrat par les signataires :

1. s’assurer que le prestataire a accès à l’ensemble des informations de manière exhaustive et transparente ;

2. s’assurer que le client ne puisse donner des instructions au DPO ou puisse le sanctionner dans la réalisation de ses tâches. Les clauses relatives notamment aux conditions de résiliation et/ou de responsabilité devront être rédigées en prenant en compte ces règles impératives ;

3. s’assurer que les préconisations du prestataire soient documentées et conservées dans le temps (communication à un prestataire successeur, durée d’archivage, moyen d’accès, etc.) ;

4. définir les processus de mobilisation en cas de faille de sécurité (délai d’intervention, modalités de notification aux autorités, etc.) ;

5. s’assurer que les termes de fin de contrat soient définis de manière à ne pas avoir d’impact sur l’indépendance du DPO. On devra par conséquent être vigilant sur les conditions de résiliation pour convenance et les modalités de non-renouvellement du contrat en fin prestation. Il semble qu’un contrat d’une durée ferme suffisamment longue soit à retenir ;

6. définir les modalités et les règles de confidentialité ;

7. définir les modalités de responsabilité du prestataire, étant précisé que le CEPD a clairement affirmé que le DPO ne pouvait être responsable de la conformité aux dispositions du règlement européen, cette responsabilité relevant du seul responsable de traitement ou du sous-traitant.

64. La rédaction de ce contrat devra par conséquent être faite avec une grande précaution, en s’assurant de toutes les garanties de compétences, de la définition des responsabilités dévolues en cohérence avec les exigences du règlement, mais sans remettre en cause l’indépendance du prestataire et/ou transférer une responsabilité qui n’est pas prévue par le règlement. Il faudra être vigilant et ne pas penser que la désignation d’un prestataire DPO dédouane l’entreprise de ses responsabilités.

65. Publicité. L’article 37, alinéa 7, du règlement européen prévoit que « [l]e responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle ».

66. Le CEPD précise que cette publicité a pour objectif de garantir la transparence et de permettre tant aux personnes concernées qu’aux autorités de contrôle, de communiquer avec les DPO de manière aisée et en toute confidentialité sans avoir à passer par d’autres membres de l’organisation.

67. Il est essentiel de noter que le CEPD précise que si les informations permettant de contacter facilement le DPO doivent être publiées (adresse postale, numéro de téléphone dédié, adresse email dédiée, site web dédié, hotline, formulaire sur le site de l’entreprise, etc.), l’identité de la personne physique n’est pas requise. Il appartiendra à chaque organisation de déterminer si la publication d’une telle information est utile tant en interne quand externe.

68. Il reste à attendre les recommandations et/ou règles que la Cnil pourra émettre en la matière.

Figure 6. Que retenir sur les modalités de désignation d’un DPO ?

1.2.3. Quand désigner le DPO ?

69. Eu égard au rôle clé du DPO dans le dispositif de conformité et au délai d’application fixé au 25 mai 2018 par le règlement, sa désignation devra avoir lieu dans les plus brefs délais. Il semble en effet peu efficace de désigner un DPO une fois que l’ensemble du programme de conformité sera défini.

1.2.4. Où désigner le DPO ?

70. Le règlement européen exige que le DPO soit facilement joignable à partir de chaque établissement de l’organisme. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle. Cette contrainte n’exige pas cependant qu’un DPO soit désigné dans chaque établissement d’une entreprise, voir dans chaque pays où un groupe est implanté.

71. Le RGPD prévoit dans son article 37, alinéa 2, qu’« un groupe d’entreprises peut désigner un seul délégué à la protection des données », autorisant ainsi sa mutualisation. On peut par conséquent imaginer un DPO pour l’ensemble des établissements d’un groupe en Europe.

72. Le lieu retenu peut être couplé avec le lieu du pays de l’autorité de contrôle chef de file, c’est-à-dire celle où se trouve le lieu d’établissement principal du groupe européen.

73. Le CEPD rappelle que la communication devra pouvoir être aisée d’une part, en termes relationnels (avec les moyens technologiques actuels, cette délocalisation ne devrait pas être un obstacle aux contacts au sein du groupe et avec les autorités de contrôle), mais d’autre part, en termes linguistiques par les autorités de contrôle et les personnes concernées.

74. Cette deuxième contrainte pourrait être un obstacle à la nomination d’un seul DPO pour des groupes présents dans plusieurs pays européens soit par leurs implantations géographiques soit par leurs activités commerciales.

Figure 7. Que retenir sur le lieu de désignation du DPO ?

1.2.5. La désignation est-elle possible si elle n’est pas obligatoire ?

75. L’alinéa 4 de l’article 37 du règlement prévoit expressément que « [d]ans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner (...) un délégué à la protection des données ».

76. Par conséquent, une nomination sur une base volontaire est envisageable. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles, tous les sous-traitants et responsables de traitement étant tenus de respecter les dispositions du règlement européen. Il est essentiel de rappeler que les pénalités en cas de non-conformité à la protection des données sont extrêmement importantes17. et que dans ce contexte, un professionnel de la protection des données peut être un atout essentiel. La désignation d’un délégué à la protection des données est d’ailleurs encouragée par les membres du CEPD.

77. Le responsable de traitement et/ou le sous-traitant pourront ainsi mettre en œuvre les politiques nécessaires et démontrer aux autorités en cas d’audit, leur volonté de conformité (« accountability »).

78. Il est à noter que dans ce cadre, le CEPD a précisé qu’une désignation volontaire d’un DPO devait répondre aux obligations prévues par les articles 37 et 39 du règlement. En conséquence, les conditions relatives aux compétences, moyens et fonctions devront être respectées.

79. Enfin, le CEPD rappelle que le responsable de traitement ou le sous-traitant peut recourir à des experts du domaine, salariés ou consultants sans que ce soit nécessairement un DPO lorsqu’il n’est pas obligatoire. Ces experts pourront participer à la protection des données. Le CEPD insiste cependant sur l’importance de ne pas créer une confusion auprès des autorités et/ou des personnes concernées. Il faudra en conséquence être vigilant sur les titres utilisés, le statut reconnu dans l’entreprise et les communications internes et externes, afin de préciser que ces experts n’ont pas le statut de DPO au sens du règlement.

Figure 8. Réflexion générale sur le programme de conformité des données privatives