Quid du Data Protection Officer

… prévu dans le réglement européen sur la protection des données personnelles

Pour Maria Lancri, Avocat à la Cour, Of Counsel, GGV Paris, avant de choisir son Data Protection Officer (DPO), imposé par le Règlement données personnelles définitivement adopté par le Parlement européen le 27 avril 2016 et publié au JO le 4 mai 2016, mieux vaut se poser les bonnes questions. Elle en a listé trois.

Le Règlement données personnelles[1]définitivement adopté par le Parlement européen le 27 avril 2016 a été publié au JO le 4 mai 2016.

Cogitem formation informatique

Les entreprises doivent désormais profiter du délai de deux ans qui leur est imparti, avant qu’il ne devienne directement applicable dans les Etats-membres, pour mettre leurs traitements de données en conformité et notamment pour nommer un Délégué aux données personnelles (en anglais, Data Protection Officer ou DPO). Maria Lancri, avocate en Compliance au sein du cabinet GGV et spécialiste des questions relatives à la prévention des risques règlementaires en entreprises en matière de données personnelles, revient ici sur son caractère obligatoire, ses missions et son indépendance.

 

LE DPO EST-IL OBLIGATOIRE ?

Depuis la parution du projet de Règlement préparé par la Commission européenne en 2012, la question a été de savoir si le DPO devait être rendu obligatoire ou non pour les entreprises. Après d’intenses négociations, il le sera dans certains cas qui peuvent prêter à interprétation.

 

Ainsi, l’article 37 du Règlement est clair lorsqu’il stipule que le DPO est obligatoire pour les entités publiques, ou pour l’entité privée (responsable de traitement ou sous-traitant) dont les activités de base consistent en un traitement à grande échelle de données sensibles ou relatives aux condamnations ou aux infractions pénales.

 

On peut aussi considérer que dès lors qu’elle traite des données de mineurs, dans la mesure où il s’agit de personnes vulnérables, une entité devra nommer un DPO. En outre, les Etats-membres peuvent choisir de rendre le DPO obligatoire dans certains cas supplémentaires.

 

L’article 37 est moins lisible lorsqu’il prévoit que l’entité privée dont les activités de base consistent en opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (monitoring) doit également nommer un DPO.

 

Les parties prenantes attendent avec intérêt la publication des lignes directrices du groupe de travail « Article 29 » pour savoir quelles sont les entreprises exactement visées par cette disposition. Le règlement indique seulement que sont concernés les traitements effectués dans le cadre des activités principales d’un opérateur. En revanche, il n’est pas précisé ce que constitue exactement le monitoring à grande échelle. Certains pensent qu’il faut surtout regarder les typologies de traitement mises en place (classer, segmenter les internautes par typologies de comportements…), d’autres considèrent que ne sont visés que les grands opérateurs en ligne. En outre, les entreprises d’états tiers (en particulier américaines) dont l’offre de biens ou de services est orientée vers des personnes situées en Europe seront soumises au Règlement et devront nommer un DPO selon les mêmes conditions.

 

A ce propos, une étude récente[2], assez prudente, estime qu’environ 24.000 DPO devront être nommés en Europe pour répondre à l’obligation posée par l’article 37.

 

A noter qu’en France, dans la version actuelle du projet de loi numérique, il est proposé un amendement de la loi informatique et libertés par lequel la nomination d’un correspondant informatique et libertés (CIL) deviendrait obligatoire pour les entreprises de plus de 250 salariés ou « dont les activités consistent en des traitements de données qui, en raison de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique de personnes« . A suivre…

 

QUELLES SONT LES MISSIONS DU DPO ?

Le DPO, dont le nom devra être rendu public et qui pourra être salarié de l’entreprise ou prestataire externe, pourra être nommé soit pour une seule entreprise, soit pour un groupe de sociétés. Dans ce cas, il devra être facilement joignable depuis chacun des établissements afin de pouvoir accomplir sa mission pleinement.

 

Le DPO, dont les missions seront plus larges que celles actuellement dévolues au Correspondant Informatique et Libertés (CIL) devra, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement (i), informer l’entité qu’il représente sur les obligations relatives aux données personnelles, (ii) contrôler le respect des données personnelles (en particulier s’assurer de la répartition des responsabilités entre responsable de traitement et sous-traitants, sensibiliser et former le personnel à ces questions), (iii) conseiller l’entreprise en matière d’analyses d’impact ; (iv) coopérer avec l’autorité de contrôle (en France la Cnil) et être son point de contact.

 

QUELLE INDÉPENDANCE POUR LE DPO ?

Afin de permettre au DPO d’assurer efficacement cette mission, le Règlement met à la charge de l’entité un certain nombre d’obligations. Ainsi, le DPO devra être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données personnelles, disposer des ressources nécessaires, avoir accès aux données personnelles, et pouvoir entretenir ses connaissances. S’il ne devrait pas être un salarié protégé, il devrait pouvoir travailler en toute indépendance, et donc ne recevoir aucune instruction en ce qui concerne l’exercice de ses missions, ne pouvoir être relevé de ses fonctions, faire directement rapport au niveau le plus élevé de l’entité, être soumis au secret professionnel ou à une obligation de confidentialité dans l’exercice de ses missions, et pouvoir exécuter d’autres missions et tâches, mais sans que cela n’entraîne de conflit d’intérêts.

 

Un programme chargé qui nécessitera sans doute de la part des entreprises une très grande confiance en la personne qui sera choisie pour assurer cette mission essentielle à l’heure où le traitement des données personnelles est devenu un élément de la stratégie et participe directement de la valorisation d’une entreprise.

 

Par Maria Lancri Avocat à la Cour, Of Counsel, GGV Paris

Les avis d’experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Comments are closed.