RGPD et Délégué à la protection des données personnelles (DPO)

règlement général sur la protection des données

Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.

Qu’est-ce qu’une donnée personnelle ?

La notion de « données personnelles » est à comprendre de façon très large

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Exemple : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.

Exemple : vous collectez sur vos clients de nombreuses informations, lorsque vous effectuez une livraison, éditez une facture ou, proposez une carte de fidélité. Toutes ces opérations sur ces données constituent votre traitement de données personnelles ayant pour objectif la gestion de votre clientèle.

Cette notion est également très large.

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). 

Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Qu’est-ce que le RGPD ?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • ou que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

La réforme du RGPD, entrée en vigueur, contient plusieurs mesures majeures dont la nomination d’un délégué à la protection des données personnelles, DPO pour “Data Protection Officer” en anglais. La nomination d’un DPO, dont les articles 37 et 39 du Règlement Général pour la Protection des Données explicitent le régime, se trouve au cœur de cette réforme commune aux pays de l’Union européenne. Son importance est telle que dès le 13 décembre 2016, le G29 (groupe des CNIL européennes, en charge de l’application du RGPD) a adopté les lignes directrices de cette nomination, lors d’une séance plénière. Des directives qui font partie intégrante des trois premiers guides adoptés par le G29 en prévision de la constitution du RGPD, ces trois guides étant les plus volumineux.

Qu’est-ce que le Data Protection Officer ou DPO ?

DPO est l’acronyme de Data Protection Officer. En français, on parle aussi, mais plus rarement, de « Délégué à la Protection des Données ». Le DPO est une nouvelle fonction, un nouveau métier créé par le règlement européen sur la protection des données : le RGPD. Le DPO est la personne en charge de la protection des données au sein d’une entreprise. Il joue un rôle de chef d’orchestre :

  • En phase initiale, il accompagne l’organisation dans la mise en conformité au RGPD. Il peut jouer le rôle de chef de projet RGPD.
  • Il s’assure ensuite au quotidien que l’entreprise respecte les règles et obligations issues du RGPD. Il informe, conseille et forme les personnes chargées des traitements (les « responsables des traitements »). Il assure la bonne application du règlement au sein de l’organisation afin d’éviter toute sanction financière de la part de la CNIL. Il est l’interlocuteur privilégié de la CNIL et assiste les décideurs dans leurs prises de décision ayant un impact en matière de protection des données.

Pour résumer, le DPO est l’expert qui accompagne votre entreprise dans la mise en place des procédures et des règles à même d’assurer sa conformité au RGPD à travers le temps.

Le DPO est-il obligatoire ? Si oui, dans quels cas ?

La question du DPO est abordée dans les articles 37, 38 et 39 du règlement européen sur la protection des données. Les articles 38 et 39 précisent le rôle du Data Protection Officer, et ses missions auprès ou au sein des entreprises (nous reviendrons tout à l’heure sur ce point : internalisation ou externalisation). Mais c’est l’article 37 qui précise dans quels cas la désignation d’un DPO est obligatoire.

L’article 37 définit trois cas / hypothèses où le DPO est obligatoire :

  • Lorsque les traitements sont effectués par une « autorité publique » ou par un « organisme public » – à l’exception des « juridictions agissant dans l’exercice de leur fonction juridictionnelle ». Les tribunaux n’ont pas obligation de désigner un DPO. En revanche, l’Etat, les collectivités territoriales (régions, départements, intercommunalités, communes), les établissements publics administratifs, les établissements publics industriels et commerciaux sont obligés de désigner un DPO.
  • Lorsque les « activités de base » exercées par le responsable de traitement ou le sous-traitant exigent un suivi régulier et systématique des personnes concernées par les traitements.
  • Lorsque les « activités de base » exercées par le responsable de traitement ou le sous-traitant consistent en un traitement « à grande échelle » de données à caractère particulier – c’est-à-dire relatives à des données sensibles : données médicales, données relatives à des condamnations pénales, données ethniques/raciales…

Quelques précisions pour mieux comprendre ces trois cas mentionnés par le RGPD :

  • Tous les organismes publics – et en particulier toutes les administrations – doivent obligatoirement désigner un DPO. A l’exception des tribunaux.
  • Par « activités de base », il faut comprendre : les activités principales réalisées par le responsable de traitement ou le sous-traitant. C’est-à-dire des activités liées au cœur d’activité de l’entreprise. Par exemple, une société dont l’activité principale consiste à surveiller des espaces publics par vidéo-surveillance, qui doit donc réaliser des traitements sur les données collectées, doit obligatoirement désigner un Data Protection Officer. Et, de manière plus générale, toutes les sociétés dont le traitement de données personnelles constitue un élément essentiel de l’activité.
  • « A grande échelle » est une notion un peu floue. Un traitement de données « à grande échelle » est un traitement qui concerne un grand nombre de personnes, beaucoup de données, des traitements opérées sur une longue durée et/ou sur une zone géographique très étendue. A l’heure actuelle, il n’existe pas de définition précise de ce qu’il faut entendre par « à grande échelle ». Aucun seuil volumétrique n’a été défini. Ce sera à la jurisprudence de clarifier cette notion.

Bon à savoir : A l’évidence, si vous êtes un petit commerçant ou une profession libérale, vous n’exercez pas de traitements à grande échelle de données personnelles. Vous n’avez donc pas obligation de désigner un DPO.

S’il existe des zones d’incertitude (et a fortiori du fait de ces incertitudes), il est recommandé à toutes les entreprises exerçant des traitements sur des données personnelles de désigner un DPO. Le champ d’application de l’article 37 est en vérité très large. Le DPO est obligatoire pour toutes les administrations et pour toutes les entreprises faisant du traitement de données personnelles à un haut niveau. Tous les grands groupes sont visés par cette obligation de désigner un DPO, mais aussi une bonne partie des PME (en particulier les PME exerçant une activité e-commerce).

Si un nombre important d’entreprises est concernée par l’obligation de désigner un DPO, une question demeure : faut-il recruter en interne un DPO ou bien peut-on externaliser cette fonction ? Dans quels cas opter pour l’une ou l’autre de ces solutions ?

DPO interne ou DPO externe ?

L’article 37 du RGPD précise que :

« Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».

La loi n’impose aucune contrainte sur ce sujet : vous pouvez désigner ou recruter un DPO en interne, ou bien externaliser cette fonction à un expert (cabinet de conseil, avocat…).

Pour vous aider dans votre choix, voici quelques éclairages et nos recommandations :

  • Recruter un DPO représente un coût supplémentaire pour l’entreprise. Nous pensons ici particulièrement aux PME, pour lesquels le coût de recrutement d’un DPO est absolument non négligeable. Internaliser ou externaliser ? La réponse à cette question dépend pour l’essentiel de la taille de l’entreprise.
  • Les grandes entreprises ont tout intérêt à recruter un DPO en interne à temps plein.
  • Pour les entreprises de plus petite taille (les PME), il est généralement conseillé d’externaliser la fonction de DPO. Pour des raisons budgétaires évidentes, mais aussi parce qu’il est inutile de consacrer un temps plein (et même un mi-temps) à cette fonction. Dans le cas des PME, la solution la plus pragmatique et la plus raisonnable consiste à faire appel à un prestataire : un avocat expert, un cabinet de conseil…

Quel est le risque de sanction en l’absence de nomination d’un DPO ?

Conformément aux dispositions de l’article 83 du RGPD, les entités ayant l’obligation de nommer un Data Protection Officer et ne respectant pas une telle obligation risquent de se voir infliger des amendes administratives par les autorités de contrôle compétentes (la Commission Nationale de l’Informatique et des Libertés – CNIL – en France par exemple).

Pour cette violation spécifique (on parle ici uniquement de l’absence de nomination), l’amende maximale encourue est de 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. La somme la plus élevée des deux montants est retenue comme étant la somme maximale de l’amende administrative pouvant être prononcée à l’encontre de l’entité fautive.

Autres articles :

Formulaire de contact :

[contact-form-7 404 "Non trouvé"]

Laisser un commentaire