Avant même le 25 mai 2018, date de son entrée en application, l’ombre du Règlement Général sur la Protection des Données (RGPD) planait déjà sur les administrations et les entreprises, les encourageant à se conformer aux nouveaux principes encadrant le traitement des données personnelles de personnes physiques.
A compter de cette date, de lourdes sanctions administratives peuvent être prononcées à leur encontre en cas de non-conformité : les amendes peuvent ainsi atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé (c’est à dire du chiffre d’affaires du groupe de sociétés concernées lorsqu’il s’agit d’un groupe). Les sentences en question peuvent par ailleurs être rendues publiques, ce qui est toujours délicat pour l’image des acteurs visés. Certaines infractions donnent également lieu à des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.
Si la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est avérée clémente le temps que tous les organismes se mettent en conformité, ce n’est à présent plus le cas. Les contrôles diligentés par elle sont de plus en plus fréquents.
L’occasion de refaire un bilan à date des obligations prévues dans le RGPD tout en se focalisant sur son représentant attitré, à savoir le Data Protection Officer (DPO), aussi appelé Délégué à la Protection des Données (DPD), puis de se pencher sur la question qui brûle souvent toutes les lèvres : ce DPO est-il obligatoire ?
Maître Yoram Kouhana, avocat spécialisé en droit des nouvelles technologies, décrypte le sujet pour vous.
Rappel : quels sont les objectifs du RGPD ?
Avant toute chose, il convient de revenir sur les notions entourant le RGPD et les données à caractère personnel. Si le RGPD a vu le jour et est devenu le fer de lance de son domaine, c’est bien parce que sa vocation est ambitieuse : harmoniser les règles de protection des données personnelles au sein des États membres de l’Union Européenne en proposant un cadre commun, tout en mettant sur la tête des personnes en charge du traitement des données personnelles des pouvoirs d’action et des responsabilités.
Alors que les termes « données à caractère personnel » se banalisent de plus en plus depuis trois ans (il n’est pas rare que les consommateurs reçoivent des mails à ce sujet, de la part des sites auxquels ils sont abonnés), ils englobent pourtant des éléments bien précis.
Une donnée personnelle est ainsi définie par l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut donc être identifiée :
- directement : par exemple, via ses nom et prénom, une photographie ; ou
- indirectement : par le biais d’identifiants quelconques, tels qu’un numéro de téléphone ou une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image.
Une seule donnée peut suffire à l’identification d’une personne physique (tel sera le cas d’un numéro de sécurité sociale) mais un croisement de données peut amener à la même finalité.
Le RGPD est indissociable de la notion de traitement puisque c’est précisément le traitement des données personnelles qui est rigoureusement encadré par le texte. Le traitement d’une donnée personnelle est ainsi une opération ou un ensemble d’opérations portant sur des données personnelles et relatives à la collecte de données, leur conservation, leur modification, leur utilisation, leur communication, etc..
En France c’est la CNIL qui contrôle la bonne application des obligations en veillant à responsabiliser les organismes qui ne joueraient pas le jeu.
Qu’est-ce que la fonction de DPO ?
Avant que le RGPD ne rentre en application et ne consacre la fonction de DPO, interlocuteur privilégié au centre de ce dispositif, l’état du domaine n’était pas en reste. C’est ainsi que la notion de Correspondant Informatique et Libertés (CIL) rappellera des souvenirs (pas si lointains) à certains. Créé par décret, le CIL avait vocation à réguler les modalités de la loi du 6 janvier 1978 dite « loi informatique et libertés ». Cette dernière, qui est toujours en vigueur, prévoit notamment les dispositions relatives aux marges de manœuvres nationales autorisées par le RGPD. Croire que le DPO ne serait pourtant que la nouvelle dénomination du CIL serait une erreur tant les responsabilités du DPO se révèlent accrues par rapport à son « ancêtre ». Contrairement au DPO, le CIL n’était par ailleurs pas obligatoire.
L’article 37 du RGPD est très clair sur le profil attendu d’un DPO : « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».
S’il peut sembler logique et naturel qu’un CIL (ou autre profil) devienne DPO, il n’en reste pas moins qu’il devra impérativement être formé pour assumer sa nouvelle mission, beaucoup plus dense que la première. Aucune formation en particulier n’est obligatoire quant à son contenu mais le DPO devra nécessairement acquérir l’expertise nécessaire à la protection des données et donc, maîtriser le contenu du RGPD tout en cultivant régulièrement ce savoir. Une bonne connaissance des textes nationaux et européens est attendue afin de sensibiliser ses interlocuteurs, et le niveau d’expertise devra être adapté à l’activité de l’organisme et à la complexité des traitements mis en œuvre.
Le DPO est-il obligatoire ?
La désignation d’un DPO est obligatoire dans les cas suivants :
- lorsqu’il s’agit d’un organisme public ;
- dans le cas d’une entreprise dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions. Ces critères sont à interpréter de façon assez large et amènent, afin de pouvoir situer son organisme, à établir un bilan restituant le nombre de personnes concernées par des traitements de données à caractère personnel, le volume et le type de données concernées, l’ampleur de leur traitement (leur durée par exemple) ainsi que la situation géographique dans laquelle ont lieu ces actions.
La CNIL préconise néanmoins fortement de désigner une personne chargée de s’assurer de la mise en conformité au RGPD, y compris si un organisme n’est pas formellement dans l’obligation de désigner un DPO. A bon entendeur.
Quel est le rôle concret du DPO ?
Tandis que bon nombre de formations donnant lieu à une première approche en matière de données personnelles, voire à une certification, fleurissent, laissant présager dans le futur un essor particulier de profils calibrés pour assurer cette récente mission de DPO, revenons à ce qui est concrètement attendu d’un tel chef d’orchestre des données personnelles.
Comme vous l’aurez compris, le DPO est chargé de la conformité en matière de protection des données au sein de son organisme en vertu de l’article 39 du RGPD évoqué préalablement, ce qui passe par :
- informer et conseiller le responsable de traitement (c’est à dire la personne morale qui détermine les finalités et les moyens de traitement des données, en résumé, l’objectif du traitement et la façon d’y arriver) ou le sous-traitant ainsi que les employés qui procèdent au traitement, sur les obligations respectives qui leur incombent ;
- contrôler le respect du règlement et du droit national en matière de protection des données ;
- conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et en vérifier l’exécution ;
- coopérer avec l’autorité de contrôle (la CNIL en l’occurrence) et en être le point de contact.
Comme le rappelle la CNIL, le DPO devra en pratique s’informer sur le contenu des nouvelles obligations, sensibiliser les décideurs de son organisme sur l’impact desdites nouveautés, réaliser un inventaire détaillé des traitements de données de son organisme ; prévoir des actions de sensibilisation (les E-learning en la matière rencontrant un certain succès) et piloter la conformité en continu.
Le travail de DPO se fait en effet sur le long terme, le but étant de rester en conformité au fil de l’eau et non pas de délaisser le sujet pour y revenir et y acter une mise à jour ponctuelle.
Quels sont les risques en l’absence de DPO ?
Outre les aspects liés aux sanctions que nous avons citées préalablement, le risque concret en l’absence de DPO est de ne pas être en mesure de prévenir des violations de données et de ne pas savoir réagir de manière appropriée si une telle violation venait à se produire.
Car il s’agit bien là du cœur de la fonction du DPO : répertorier l’ensemble des traitements de données personnelles ayant cours au sein de son organisme (en tenant des registres de traitement) et mettre en place des procédures globales (en définissant des durées de conservation de données, en fixant des mesures de sécurité adéquates, en encadrant les transferts qui pourraient avoir lieu dans des pays extérieurs à l’Union européenne etc.) afin d’éviter au mieux une violation desdites données. Au-delà des aspects purement pécuniaires, c’est bien de l’image de son organisme et de la perception de sa fiabilité par ses interlocuteurs internes et externes dont il est question, une sanction rendue publique pouvant rapidement jeter l’opprobre sur une activité.
Faut-il choisir un DPO interne ou externe à l’entreprise ?
Ceci étant dit, rien n’oblige un organisme à opter pour un DPO interne. Certes l’avantage d’un tel DPO est qu’il est en théorie le mieux placé pour connaître son entreprise, et que passé les gros chantiers de mise en conformité des premiers mois, ce n’est pas nécessairement une fonction qui lui demandera un temps plein ; il pourra donc vaquer à d’autres missions en parallèle tant que cela n’entraîne aucun conflit d’intérêt. Le DPO ne peut donc pas exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel (par exemple, il est impossible d’être à la fois DPO et Directeur Marketing).
Un DPO externe pourra quant à lui s’avérer d’une aide précieuse en apportant une véritable expertise tout en ayant un regard neuf sur les activités concernées. Très souvent le DPO externe procède à un audit des ressources et process de l’organisme demandeur afin d’estimer au mieux les points d’action prioritaires. Sa position extérieure à l’entreprise en fait également un interlocuteur privilégié, lui permettant parfois de recueillir plus aisément des témoignages ou suggestions tout en lui donnant une stature particulière l’amenant à être plus facilement écouté par les décisionnaires. Il est ainsi de plus en plus fréquent de voir des entreprises faire appel à un avocat afin d’obtenir un avis éclairé sur le cadre existant et les moyens de s’y conformer.
Que votre organisme fasse le choix d’un DPO interne ou externe il est primordial de respecter vos obligations, d’autant plus que si un réel effort semble avoir été fait par les différents acteurs au moment de l’entrée en vigueur du RGPD en 2018, un certain relâchement est à constater, probablement initié avec la pandémie, qui a parfois relégué l’aspect des données personnelles au second plan. Un réel paradoxe tandis que la dématérialisation n’a jamais été aussi exacerbée que depuis l’année 2020.
Il est recommandé de vous faire accompagner par un avocat spécialisé afin de vous assurer de la bonne conformité de votre entreprise au RGPD. Au-delà du sujet DPO, ce sont toutes les règles liées à la protection des données (gestion des cookies, traitement des données, accountability…) qui entrent en jeu.