Accueil Confidentialité des données Tout savoir sur les missions du futur Délégué à la protection des...

Tout savoir sur les missions du futur Délégué à la protection des données (DPO)

Le 17 mars dernier, HSC by Deloitte, cabinet de conseil en sécurité informatique membre du réseau Deloitte, et le cabinet d’avocats Taj ont organisé dans leurs locaux de Neuilly-sur-Seine un petit-déjeuner sur le thème « Anticiper le règlement européen : le délégué à la protection des données (DPO) ». En voici la synthèse.

Parmi les évolutions prévues du nouveau règlement européen sur les traitements de données à caractère personnel, dont l’adoption devrait en principe intervenir au printemps 2016, le « délégué à la protection des données » (DPO ou data protection officer) vient prendre la suite du « détaché à la protection des données à caractère personnel » (transposé en France sous la forme du correspondant informatique et libertés). Il revêt un intérêt majeur pour les entreprises et le marché de la protection des données, puisque d’une fonction l’on pourrait rapidement passer à une véritable profession, exerçable tant en interne qu’en externe. Hervé Schauer, associé Deloitte et directeur général d’HSC by Deloitte, Pascal Seguin, associé Taj, et Frédéric Connes, senior manager et directeur juridique d’HSC by Deloitte, ont fait le point.

Un renforcement sensible des missions

Le DPO prend la suite du correspondant informatique et libertés, avec néanmoins un renforcement sensible de ses missions. La première d’entre elles consiste toujours à veiller au respect des exigences juridiques en matière de protection des données personnelles. Cependant, au-delà des missions d’information, de sensibilisation et de conseil, qui sont désormais explicitement prévues, le DPO devra, en pratique, veiller à la réalisation des analyses d’impact sur la vie privée (PIA – privacy impact assessment), à l’intégration de la protection des données personnelles dès la phase projet (privacy by design), à la tenue et à la centralisation de la documentation et des preuves, et à la gestion des violations de données personnelles. Il devra être informé de tout projet impliquant des données personnelles.

Pour mener efficacement ses missions, le DPO devra disposer de moyens importants, tant en termes de ressources que de temps consacré à l’étude des projets impliquant des données personnelles. La proportion de DPO à temps plein devrait ainsi naturellement augmenter. Le DPO disposera également d’un droit d’accès direct aux données, contrairement au CIL. En contrepartie, il sera explicitement soumis au secret professionnel.

Le DPO pourra être désigné par un responsable de traitement, mais aussi par un sous-traitant, ce qui constitue une nouveauté par rapport à la situation actuelle. Le DPO d’un sous-traitant devra veiller à ce que ce dernier respecte les engagements contractuels liés aux données personnelles.

Un DPO interne ou externe

Le DPO pourra être interne ou externe. En interne, son positionnement sera central, puisqu’il devra être rattaché directement au niveau le plus élevé du responsable du traitement ou du sous-traitant. Il pourra, comme le CIL, être mutualisé. En externe, la limite actuelle des 50 personnes disparaîtra, ce qui signifie que le recours à des prestataires devrait se développer, et sans doute conduire à terme à une véritable professionnalisation des DPO. L’évaluation de leurs compétences professionnelles sera alors déterminante pour leurs clients, en raison de l’impact potentiel de l’action du DPO sur l’image de l’organisme.

Le DPO sera le point de contact, tant des personnes concernées que de la CNIL. En revanche, il ne sera soumis à aucune obligation de signaler les manquements à cette dernière. Il ne sera donc pas une sorte de « commissaire aux données », même si son statut sera relativement protecteur, notamment en termes d’indépendance.

Se préparer à la mise en place du DPO 

Tout d’abord, il importe de déterminer si la désignation d’un DPO sera obligatoire ou pas au sein de l’organisme. Sa désignation sera en effet impérative dans trois cas : l’organisme relève du secteur public ; son activité principale implique un suivi régulier et systématique à grande échelle de personnes concernées ; il réalise un traitement à grande échelle de données sensibles ou judiciaires.

Dans l’hypothèse d’un DPO obligatoire, il peut être judicieux, si ce n’est déjà fait, de désigner dès à présent un CIL au sein de l’organisme, afin qu’il acquière l’expérience nécessaire pour mener à bien ses futures missions. L’intérêt de recourir à un prestataire spécialisé, en externe, peut également être étudié dès aujourd’hui.

Si les CIL actuels sont évidemment bien placés pour devenir DPO, aucune évolution automatique n’est actuellement prévue. L’AFCDP, l’Association Française des Correspondants à la protection des Données à caractère Personnel, souhaite cependant la mise en place d’une « clause du grand-père », qui permettrait aux CIL répondant aux conditions, et le désirant, de devenir DPO. Pour autant, il n’est pas certain qu’une telle automaticité soit souhaitable, dans la mesure où les missions et la responsabilité du DPO seront bien supérieures à ce qu’elles sont qu’aujourd’hui.

Ensuite, le DPO devra justifier de « connaissances spécialisées de la législation et des pratiques en matière de protection des données », et de sa capacité à accomplir ses missions. Ces connaissances seront nécessairement transverses, mêlant à la fois des composantes juridiques, techniques et organisationnelles, sans négliger les compétences métier. Les qualités de communication, la capacité à négocier et une excellente connaissance de l’organisme, de son fonctionnement et de ses spécificités constitueront évidemment des atouts indéniables. Tant les futurs DPO que les organismes qui les désigneront ont donc intérêt à ce que des validations de connaissances et de savoir-faire se développent, et ceci dès maintenant.

Enfin, les organismes et les futurs DPO devraient profiter des deux années qui nous séparent de l’entrée en application du règlement pour étudier les outils documentaires pouvant apporter une véritable aide au DPO, et également pour se doter des méthodes et procédures qui seront nécessaires, notamment en matière d’analyses d’impact et de notification des violations de données personnelles. Un renforcement des outils de veille pourrait également être envisagé si les outils actuels n’apparaissent pas suffisants au regard des futures responsabilités du DPO.