Le rôle du Délégué à la Protection des Données (DPO) est au cœur des préoccupations liées à la conformité en matière de protection des données personnelles. En vertu du règlement général sur la protection des données (RGPD), le DPO se voit confier un ensemble de missions essentielles pour assurer la protection des droits et des intérêts des individus dont les données sont traitées. Le RGPD énumère ces missions dans son article 39, et elles comprennent un large éventail de responsabilités allant de l’information et du conseil à la surveillance de la conformité, en passant par la coopération avec l’autorité de contrôle.

Dans cette documentation, nous examinerons en détail les principales missions du DPO, leur importance et comment elles s’intègrent dans le paysage complexe de la protection des données. Nous commencerons par explorer le rôle du DPO en tant qu’informateur et conseiller, puis nous nous pencherons sur sa mission de contrôle de la conformité, son rôle en matière d’évaluation d’impact, sa coopération avec l’autorité de contrôle, la tenue du registre des traitements, son implication dans la gestion des droits des personnes et enfin, sa contribution à la sécurité des données.

Chacune de ces missions est cruciale pour garantir que les organisations respectent les obligations du RGPD et veillent à ce que les données personnelles des individus soient traitées de manière légale, éthique et sécurisée. Le DPO, en tant qu’acteur central de la conformité, joue un rôle essentiel dans cette démarche et contribue à renforcer la confiance du public dans la gestion de ses données personnelles par les organisations.

Quelles sont les missions du DPO ?

Le règlement général sur la protection des données personnelles énonce au sein de son article 39 une liste non exhaustive des missions du Délégué à la Protection des Données (DPO) :

« 1. Les missions du délégué à la protection des données sont au moins les suivantes :
a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
d) coopérer avec l’autorité de contrôle ;
e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
2. Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».

I. Informer et conseiller.

La principale mission du DPO consiste à informer et à conseiller les parties concernées sur leurs obligations en matière de protection des données personnelles conformément à l’article 39, paragraphe 1, point a) du RGPD.

Ces parties incluent les responsables de traitement, les sous-traitants, ainsi que les employés des responsables de traitement ou des sous-traitants.

Dans ce contexte, le DPO est habilité à rédiger des documents informatifs. Il peut s’agir d’une politique interne de protection de la vie privée. Celle-ci permettra de préciser les pratiques à respecter par les responsables de traitement, les sous-traitants, ainsi que les employés des responsables de traitement ou des sous-traitants.

Ces documents informatifs jouent un rôle essentiel dans le respect de l’accountability, un principe qui englobe l’obligation pour les entreprises de mettre en place des mécanismes et des procédures internes permettant de démontrer de manière transparente et vérifiable leur conformité aux règles relatives à la protection des données. L’accountability nécessite que les organisations non seulement respectent les réglementations en vigueur, telles que le Règlement Général sur la Protection des Données (RGPD), mais qu’elles puissent également le prouver.

Les documents informatifs, comme les politiques de protection de la vie privée, contribuent à établir un cadre clair de gouvernance des données au sein de l’entreprise. Ils facilitent la traçabilité des opérations de traitement des données, la sensibilisation des employés aux bonnes pratiques en matière de protection des données et la communication avec les parties prenantes. De plus, ils fournissent une documentation essentielle en cas d’audit ou de contrôle, aidant ainsi l’organisation à démontrer sa diligence en matière de protection des données et à se conformer pleinement aux obligations légales. En fin de compte, ces documents informatifs sont un élément clé de l’accountability et contribuent à renforcer la confiance des individus quant au traitement de leurs données personnelles par l’entreprise.

II. Contrôler le respect des dispositions du RGPD.

Pour accomplir cette mission, le DPO peut :

• Rassembler des informations pour identifier les activités de traitement puis examiner et évaluer la conformité des activités de traitement
• Fournir des informations et des conseils aux responsables de traitement ou aux sous-traitants concernant leurs obligations, tout en proposant des recommandations
• Dispenser des formations au personnel ou faire appel à des organismes de formation spécialisés.

Le DPO a la responsabilité de surveiller attentivement la conformité de la société avec le Règlement Général sur la Protection des Données (RGPD) et les lois en vigueur concernant la protection des données personnelles. Il veille à ce que la société respecte non seulement les dispositions légales externes, mais également les règles internes de l’organisation. Cela comprend, entre autres, l’organisation des responsabilités au sein de l’entreprise, la mise en place de programmes de sensibilisation à la protection des données, la formation du personnel impliqué dans les opérations de traitement des données, et la réalisation d’audits pour évaluer la conformité.

Le DPO agit en tant que gardien de la conformité et travaille en étroite collaboration avec les différentes parties prenantes de l’entreprise pour s’assurer que les activités de traitement des données personnelles sont menées en toute transparence, de manière légale et éthique, tout en garantissant la protection des droits et des intérêts des personnes concernées. Cette vigilance s’étend également à la supervision des audits internes et externes, assurant ainsi que l’organisation respecte pleinement ses obligations en matière de protection des données et que des mesures correctives appropriées sont prises en cas de non-conformité.

III. Dispenser des conseils en ce qui concerne les analyses d’impact.

Le Comité européen de la protection des données (CEPD) recommande que l’entité effectuant une évaluation d’impact consulte le DPO sur les aspects suivants :

• La nécessité de réaliser une évaluation d’impact en matière de protection des données
• La méthodologie à adopter lors de la réalisation de l’évaluation d’impact
• La décision d’effectuer l’évaluation en interne ou de la sous-traiter
• Les mesures de sécurité à mettre en place pour atténuer les risques potentiels pour les droits et intérêts des personnes concernées
• La vérification de la conformité de l’évaluation d’impact aux exigences du RGPD.

Le CEPD souligne également que si le responsable du traitement n’adhère pas aux conseils et avis émis par le DPO, la documentation de l’évaluation d’impact devra clairement justifier par écrit les raisons pour lesquelles les conseils et avis du DPO n’ont pas été suivis [1].

Il est donc fortement conseillé de mener une ou plusieurs évaluations d’impact sur la vie privée afin d’évaluer les risques potentiels pour les personnes concernées. Ces évaluations permettent d’identifier les menaces pour la protection des données personnelles et de mettre en place des mesures adéquates pour les atténuer. Le DPO joue un rôle essentiel dans ce processus en collaborant étroitement avec les personnes responsables de ces évaluations. Son rôle consiste à fournir des conseils avisés basés sur son expertise en matière de protection des données, ainsi qu’à s’assurer que les évaluations sont menées conformément aux exigences énoncées dans le règlement général sur la protection des données (RGPD), notamment à l’article 35.

Le DPO devrait s’efforcer de garantir que les évaluations d’impact sur la vie privée sont exhaustives, rigoureuses et conformes à la législation en vigueur. Cela implique de prendre en compte tous les facteurs susceptibles d’affecter la protection des données personnelles, d’identifier les risques potentiels, d’évaluer leur gravité et de recommander des mesures appropriées pour les atténuer. La collaboration étroite entre le DPO et les équipes chargées des évaluations d’impact est essentielle pour assurer une protection adéquate des droits et des intérêts des personnes concernées, conformément aux exigences du RGPD.

IV. Coopérer avec l’autorité de contrôle (CNIL).

En sa qualité de personne de référence ou de liaison avec l’autorité de surveillance, le DPO joue un rôle central dans l’instauration d’une coopération transparente et efficace, ainsi que dans la facilitation de la communication entre l’organisation et ladite autorité. À ce titre, le DPO est un acteur essentiel tout au long du processus des procédures entreprises par l’autorité de contrôle, de l’initiation à la résolution.

Sa mission comprend également la tâche de simplifier et d’accélérer l’accès à l’ensemble de la documentation nécessaire pour que l’autorité de contrôle puisse exercer ses compétences de manière appropriée. Le DPO est chargé de garantir que toutes les informations pertinentes sont mises à disposition de manière transparente, ce qui favorise une coopération fluide et assure que l’autorité de contrôle dispose de tous les éléments nécessaires pour évaluer la conformité aux lois et réglementations en matière de protection des données.

V. Tenir le registre (faculté).

Bien que la responsabilité de tenir le registre des traitements soit généralement assignée au responsable de traitement, il est courant dans la réalité que cette responsabilité soit souvent déléguée au DPO.

En réalité, le Comité européen de la Protection des Données (CEPD) est d’avis que, du fait que le registre est considéré comme un outil fondamental qui permet au DPO d’accomplir efficacement ses missions d’assistance, de conseil et de surveillance de la conformité, l’administration du registre n’est pas incompatible avec les rôles et fonctions du DPO.

VI. Intervenir dans la gestion des droits des personnes.

Le RGPD a introduit de nouveaux droits destinés aux individus dont les données sont traitées. Ces droits comprennent :

• le droit d’accès à leurs données
• le droit de rectification de leurs données
• le droit à la portabilité de leurs données
• le droit d’opposition au traitement de leurs données
• le droit à l’effacement de leurs données.

En principe, l’obligation de répondre aux demandes des personnes concernées incombe au responsable de traitement. Cependant, dans la réalité, il est courant que cette responsabilité soit déléguée au DPO, dont les coordonnées doivent être impérativement communiquées aux personnes concernées.

VII. Sécuriser les données personnelles.

Le DPO joue un rôle actif dans la mise en place de la politique de sécurité définie par le responsable de traitement.

Il peut être amené à collaborer étroitement avec le Responsable de la sécurité des systèmes d’information (RSSI), notamment lorsqu’il y a une faille de sécurité entraînant une violation de la protection des données.

Concrètement, le DPO peut apporter son expertise pour identifier une faille de sécurité et évaluer les risques qui en découlent. De plus, il peut contribuer à la mise en œuvre des mesures définies dans la politique de sécurité ou de gestion des risques du responsable de traitement, à condition que ces documents existent.

De plus, le RGPD impose désormais des obligations de notification à la CNIL en cas de violation de la protection des données, conformément aux articles 33 et 34. Le DPO peut être appelé à documenter ces notifications et à les initier.

De plus, en cas d’attaque informatique ayant entraîné une faille de sécurité, le DPO peut assister le responsable de traitement si ce dernier envisage de déposer une plainte.

Enfin, le DPO peut également contribuer à renforcer la sécurité de l’organisation dans le cadre de sa mission globale d’information et de conseil en matière de protection des données.

Jonathan Pouget Avocat à la Cour, DPO & Docteur en droit [->jonathan@pouget-avocat.fr] Site Web: https://pouget-avocat.fr/