Le rôle clé du délégué à la protection des données sous le RGPD

L’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018 a introduit de nouvelles obligations pour les organisations traitant des données personnelles, parmi lesquelles la désignation, dans certains cas, d’un délégué à la protection des données (DPD ou DPO en anglais). Ce rôle, défini à l’article 37 du RGPD, est devenu un élément clé de la gouvernance des données et de la mise en conformité au Règlement.

I - Quand désigner un délégué à la protection des données ?

La désignation d’un DPO est obligatoire dans trois cas spécifiques :

  1. Pour les autorités ou organismes publics : Toute autorité ou organisme public doit désigner un DPO, quelle que soit la nature des données traitées, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.

  2. Lorsque les activités de base requièrent un suivi régulier et systématique à grande échelle : Si les activités de base d’un organisme consistent en un suivi régulier et systématique des personnes concernées à grande échelle, un DPO doit être nommé. C’est souvent le cas pour les entreprises dont le modèle économique repose sur le profilage et le ciblage publicitaire.

  3. Lorsque les activités de base incluent le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales : Les organismes dont les activités de base impliquent le traitement à grande échelle de catégories particulières de données (données sensibles) ou de données relatives à des condamnations pénales doivent également désigner un DPO.

Même lorsque la désignation d’un DPO n’est pas obligatoire, les organismes peuvent choisir d’en nommer un volontairement. Cette décision peut démontrer un engagement envers la protection des données et aider à instaurer une culture de conformité au sein de l’organisation.

II - Quel est le rôle du délégué à la protection des données ?

Le DPO a pour mission principale de s’assurer que l’organisme qui l’a désigné respecte les obligations du RGPD. Ses tâches, détaillées à l’article 39, incluent :

  • Informer et conseiller : Le DPO informe et conseille le responsable du traitement, les sous-traitants et les employés sur leurs obligations en matière de protection des données.

  • Contrôler le respect du RGPD : Le DPO contrôle le respect du RGPD et des politiques de protection des données de l’organisme, y compris la répartition des responsabilités, la sensibilisation et la formation du personnel, et les audits.

  • Conseiller sur les analyses d’impact : Le DPO fournit des conseils sur la réalisation d’analyses d’impact relatives à la protection des données (AIPD) et en vérifie l’exécution.

  • Coopérer avec l’autorité de contrôle : Le DPO coopère avec l’autorité de contrôle (la CNIL en France) et sert de point de contact sur les questions relatives au traitement des données.

  • Être un point de contact pour les personnes concernées : Le DPO fait office de point de contact pour les personnes concernées sur toutes les questions relatives au traitement de leurs données personnelles et à l’exercice de leurs droits.

Il est important de noter que si le DPO conseille et assiste l’organisme dans sa mise en conformité, il n’est pas personnellement responsable en cas de non-conformité. Cette responsabilité incombe au responsable du traitement ou au sous-traitant.

III - Quelle position pour le délégué à la protection des données dans l’organisme ?

Le RGPD exige que le DPO soit impliqué de manière appropriée et en temps utile dans tous les aspects liés à la protection des données. Pour ce faire, le DPO doit bénéficier d’un positionnement approprié dans l’organisme et rapporter au niveau le plus élevé de la direction.

Le DPO doit aussi disposer des ressources nécessaires pour exercer ses missions, y compris l’accès aux données et aux opérations de traitement, ainsi que les ressources pour entretenir ses connaissances spécialisées. Il est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

Enfin, le RGPD prévoit des garanties pour assurer l’indépendance du DPO. Il ne peut recevoir aucune instruction en ce qui concerne l’exercice de ses missions et ne peut être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions. Il doit pouvoir agir de manière indépendante vis-à-vis de son employeur et des personnes concernées.

IV - Quelles compétences pour le délégué à la protection des données ?

Le RGPD exige que le DPO soit désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données.

Si le niveau de connaissances requis n’est pas précisé, il doit être déterminé en fonction de la sensibilité, de la complexité et de la quantité de données traitées par l’organisme. Les compétences et l’expertise du DPO peuvent s’acquérir par diverses voies : formation universitaire en droit, expérience professionnelle, certifications spécialisées, etc.

Au-delà des connaissances juridiques, le DPO doit aussi posséder une bonne compréhension des opérations de traitement effectuées par l’organisme, ainsi que des systèmes d’information et de la sécurité des données. Des compétences en gestion de projet, communication et sensibilisation sont également essentielles pour mener à bien ses missions.

V - Quelles sont les responsabilités de l’organisme vis-à-vis du délégué à la protection des données ?

L’organisme qui désigne un DPO a plusieurs responsabilités à son égard. Il doit veiller à ce que :

  • Le DPO soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données.
  • Le DPO dispose des ressources nécessaires pour exercer ses missions et préserver ses connaissances.
  • Le DPO ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions.
  • Le DPO ne soit pas relevé de ses fonctions ou pénalisé dans l’exercice de ses missions.
  • Le DPO fasse directement rapport au niveau le plus élevé de la direction de l’organisme.

L’organisme doit également publier les coordonnées du DPO et les communiquer à l’autorité de contrôle.

Conclusion

Le délégué à la protection des données joue un rôle crucial dans la gouvernance des données et la mise en conformité au RGPD. En désignant un DPO compétent et en lui donnant les moyens d’exercer ses missions de manière indépendante, les organismes démontrent leur engagement envers la protection des données et la défense des droits des personnes concernées.

Bien que la désignation d’un DPO ne soit pas toujours obligatoire, elle est fortement recommandée pour tous les organismes traitant des données personnelles à grande échelle ou des données sensibles. Au-delà de la conformité légale, le DPO peut aider les organismes à instaurer une véritable culture de la protection des données, source de confiance et de valeur ajoutée dans une économie toujours plus numérique.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
RGPD (ressources essentielles)
VOS CGV (gratuites)