Mis sur le devant de la scène grâce à l’arrivée du RGPD, le D.P.O, pour « Data Protection Officer », ou en français Délégué à la Protection des Données (DPD), [1] a "une mission extrêmement simple : il a principalement la charge de protéger, au cœur d’un organisme, les droits et les libertés des citoyens de l’UE, relativement à leurs données à caractère personnel." Cette définition claire, c’est Jean-Michel Livowsky qui nous la donne puisque DPO, c’est son métier. La particularité c’est qu’il l’exerce au côté d’une avocate, Françoise Dezavelle, dans le cadre du cabinet d’avocat-DPO qu’ils co-dirigent. Pour eux, c’est un "développement et une continuité logique lorsqu’on est particulièrement attaché aux libertés publiques, aux valeurs démocratiques et aux droits et libertés des individus." Le Village de la justice les a interrogés sur cette double casquette.

Village de la justice : Pourquoi être DPO et Avocat ? Quel est l’avantage pour une entreprise d’opter pour un DPO-avocat ?

Jean-Michel Livowsky : "Le propos n’est évidemment pas (et loin de là), de dénigrer les DPO « classiques », qui sont parfois issus de l’informatique interne ou des RH de l’entreprise, puisque la mission du DPO peut être remplie par une personne sans formation juridique et technique particulière.

Mais un constat objectif consiste à pointer le fait que l’avocat-DPO peut apporter en sus de cette compétence spécifique des textes et règlements européens, celle réellement corollaire et complémentaire, de son expertise juridique, de la défense, du conseil continu, et d’un encadrement juridiquement borné en cas de contrôle. 

Le métier et la fonction de DPO se répartissent en trois axes principaux dont les pourcentages peuvent varier, mais qui sont souvent de l’ordre :
 d’un tiers d’activité « juridique pure » (mentions légales, contrats de travail, revues d’engagements des sous-traitants, consentement des formulaires de recueils de données) ;
 d’un tiers sur la partie « technique » (sécurité informatique, audit des systèmes, intrusions, protections techniques et informatiques actives, procédés de chiffrement et d’anonymisation) ;
 d’un tiers de « métier » directement lié à l’activité spécifique du client, ainsi une société de services à la personne ou un EHPAD n’aura par exemple pas du tout les mêmes besoins qu’une société high-tech spécialisée dans l’intelligence artificielle.

L’avocat étant habitué, par sa fonction même, à veiller à la protection des libertés publiques et individuelles, son rôle est essentiel dans les mécanismes de protection des données à caractère personnel, définis par les "responsables de traitements".

Françoise Dezavelle, Avocate-DPO

Le DPO doit souvent faire comprendre au Responsable de Traitement que son rôle n’est pas d’autoriser ou non les traitements, mais de les rendre transparents et licites. La principale difficulté pour un DPO externe consistera à ne pas être assimilé à un "conseil juridique", problème qui ne se pose évidemment plus du tout pour un DPO-Avocat.

A l’inverse, si l’avocat a la légalité de la fonction, s’il veut prétendre à la légitimité de celle-ci, il convient qu’il dispose de nombreuses compétences du fait des contraintes organisationnelles et techniques qu’il va devoir déployer, par voie de conseils ou de recommandations, vis-à-vis de ses clients. Par exemple, arbitrer le choix d’un serveur externe ou d’une solution métier hébergée hors de l’UE, en prenant en compte les garanties et procédés de chiffrement proposés par les concurrents en matière de transferts des informations, la relecture des contrats de service US et les conséquences du Privacy-Shield ou du Cloud-Act, la présence (ou pas) des procédures de chiffrement , les comparatifs de certification, la présence ou non des process de double authentification, la gestion des clefs asymétriques et la hiérarchie des droits des destinataires de données, etc. La fonction de DPO n’est vraiment pas que juridique ! 

Déontologiquement, des dispositions ordinales particulières ont pour objet de garantir la compatibilité entre les règles déontologiques de la profession d’avocat et les missions du DPO.

De la même façon, aucune obligation de dénonciation de son client ne peut être mise à la charge de l’avocat, y compris dans le cadre de sa désignation en qualité de DPO externe ou mutualisé.

Enfin, si la désignation d’un DPO n’entraîne pas d’exonération de responsabilité civile ou pénale pour le responsable de traitement, un avocat désigné en tant que DPO est susceptible d’engager sa responsabilité professionnelle d’avocat, ce qui est protecteur pour les entreprises, à l’inverse d’un DPO interne dont la responsabilité ne peut jamais être recherchée dans l’exercice de sa mission."

V.J : Concrètement, comment fonctionnez vous ?

J-M.L : « Nous sommes DPO mutualisés et conseils de fédérations et de syndicats patronaux, notamment dans le service à la personne.

Jean-Michel Livowsky,DPO

Nous exerçons également la fonction de DPO externe pour des Fondations, des entreprises reliées au monde des applications mobiles, des cabinets d’avocats petits ou grands, des groupes de Grandes écoles, des organes de presse…

Cela représente plusieurs dizaines d’organismes en désignation directe, et quelques centaines dont nous assurons ponctuellement la mission d’expertise et de conseil sur demande expresse.

Nos avocats travaillent en très étroite collaboration avec des experts techniques pour mener à bien leurs différentes missions.

Dans le cadre de nos désignations officielles devant la CNIL, nous définissons avec précision la mission qui nous est confiée.

Le DPO lui-même, désigné pour assurer la fonction de DPO proprement dite et pour orchestrer la mission, n’est pas nécessairement avocat, et peut être aussi juriste [2], expert en protection des données, expert en sécurité informatique etc.

Pour les plus grosses structures dont nous avons la charge l’action du DPO est relayée par un relais-DPO interne salarié de l’entreprise, spécialement formé.

Des problématiques parfois connexes nécessitent régulièrement une rédaction à quatre mains : par exemple les chartes informatiques d’entreprise, la relecture des conventions d’hébergement cloud, les politiques générales de protection des données, les engagements unilatéraux de confidentialité, les règlements intérieurs, politique des cookies, et les contrats de travail."

V.J : Plaideriez-vous pour qu’une nouvelle mention de spécialisation des avocats soit créée à ce titre ?

J-M.L : "Absolument et impérativement ! La législation européenne est assez complexe, dotée d’une abondante doctrine (généralement en anglais provenant du G29), et il est parfois très difficile d’arbitrer… La CNIL est en train de mettre en place des procédures d’agrément pour les organismes qui assureront dans l’avenir les formations des futurs DPO. Il serait logique que cette nouvelle profession s’oriente vers un cadre règlementé, comme c’est déjà le cas dans d’autres pays. 

L’ Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) œuvre très activement pour offrir un cadre méthodologique et légal à l’exercice de la profession. De très nombreux avocats ou cabinets en sont membres.

Être DPO est un vrai métier, à part entière. Un avocat est évidemment mieux armé que quiconque pour en saisir toutes les subtilités juridiques. Mais il doit encore souvent se former, aux techniques de sécurité informatique, de compréhension des structures de réseaux complexes.

Comme pour tous les DPO, la compréhension « métier » est essentielle, sa casquette naturelle de conseil de chef d’entreprise ou d’entrepreneur devra l’aider à trouver la meilleure solution d’arbitrage entre les coûts engendrés par la conformité, les impacts évidents sur les opérations de marketing, et la capacité financière de l’entreprise à les assumer et à les rentabiliser."

V.J : En cette année 2018 marquée par la mise en place du RGPD, quel est votre avis sur ce texte et ses apports ?
 
J-M.L : "Pour nous oui c’est une transition naturelle de la Loi de 78 qui avait besoin d’être refondée. Mais il est vrai que la plupart des organismes qui ne s’y étaient jamais intéressés avant ont vécu, en effet, le RGPD comme une bien mauvaise surprise ! 

Nous faisons partie des convaincus depuis des années. Nous pensons que l’identité d’une personne et le droit à sa protection sans condition sont une partie fondamentale de ses droits constitutionnels et plus généralement des libertés publiques. L’extension que constitue notre identité numérique, sa fragilité et le droit de pouvoir maîtriser ce que les autres veulent faire de notre intimité, celui de ne pas faire l’objet d’un profilage systématique, de ne pas être jugé ou recruté en fonction d’algorithmes plus ou moins obscurs, nécessitait un cadre règlementaire rigoureux."

---

N.B : Avocat-DPO, une fonction en plus, mais pas une spécialisation.
Par une décision à caractère normatif parue au Journal officiel le 11 juin 2009, l’assemblée du Conseil National des Barreaux (CNB) a intégré un nouvel article 6.2.2 au Règlement Intérieur National (RIN), précisant les modalités d’exercice, par un avocat, des fonctions de "correspondant à la protection des données ou Correspondant Informatique et Libertés (CIL)" devenu depuis DPO. Certaines dispositions particulières ont été insérées dans le règlement intérieur du Barreau de Paris (RIBP) concernant les avocats parisiens exerçant les fonctions de CIL (article P 6.2.0.2).

Propos recueillis par Nathalie Hantz Rédaction du Village de la justice

Comentaires:

• 
  demande de renseignement, clement, 3 avril 2019

  bonjour,
  je suis actuellement en première année de master en droit social et je m’en rend compte que suis plus intéressé par par les masters 2 droit du numérique ou droit du cyberespace mais vu le master actuel que je fait je me demandait bien si j’ai mes chances de me faire accepté dans un master 2 en droit du numérique. vos conseils seront les bien venu.