Le délégué à la protection des données (DPD ou DPO en anglais) est le pilote de la mise en conformité aux normes de protection des données personnelles de son entité. Si sa désignation n’est obligatoire que dans trois cas, pour le reste elle est recommandée de manière générale par la CNIL.
Ces trois cas sont : les administrations et organismes publiques (hors juridictions) ; les organismes qui effectuent un suivi régulier et systématique de personnes à grande échelle dans le cadre de leurs activités principales ; les organismes qui traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions dans le cadre de leurs activités principales.
Qui peut être DPO en pratique ? Si aucune restriction n’est énoncée explicitement par la lettre du RGPD (Règlement Général sur la Protection des Données), il existe en revanche un certain nombre de critères qui peuvent conduire à l’exclusion de certains profils du fait d’incompatibilités fonctionnelles avec d’autres rôles au sein d’une même entité.
Quelles sont les compétences nécessaires au conseil d’un DPO ?
Tout d’abord le DPO doit disposer des compétences nécessaires à l’exercice de ses missions prévues à l’article 39. En pratique, il doit donc être en mesure de :
- Conseiller le responsable de traitement (ainsi que ses personnels et ses sous-traitants) sur les obligations légales et réglementaires qui lui incombent, pour la réalisation des analyses d’impact sur la protection des données ;
- Contrôler la bonne application de ces obligations et de manière plus générale des autres normes et règles internes relatives à la protection des données ;
- S’établir en point de contact pour l’autorité de contrôle (la CNIL en France) et coopérer avec elle en cas de procédure.
Pour ce faire, le RGPD invite à désigner une personne disposant des compétences juridiques nécessaires à apprécier et diffuser les contraintes normatives applicables aux opérations de traitement de données personnelles menées par l’entité (article 37.5). Il est également recommandé que cette personne dispose d’un bagage technique suffisant pour évaluer les mesures mises en place vis-à-vis des obligations réglementaires applicables.
Selon une étude réalisée sur les profils des DPO en 2021, un constat ressortait sur la diversification des profils : 47 % sont issus d’autres domaines d’expertise que le droit et l’informatique (+ 12 points depuis 2019), il s’agit par exemple de profils administratifs et financiers ou en lien avec la qualité ou la conformité-audit. Cependant une majorité (53%) reste donc des profils liés à la pratique du droit ou de l’informatique, en raison de la double compétence attendue pour ce rôle.
Au demeurant, une personne qui dispose d’une appétence suffisante sur les sujets de la protection des données, peut faire compléter ses compétences à l’aide de formation propre à la fonction de DPO. Celles-ci lui permettent d’étudier en détail les obligations du RGPD et de Loi informatique et Liberté, tout en se confrontant à des exercices de mises en pratiques des missions de DPO.
La formation fait d’ailleurs partie des moyens qui doivent être mis à dispositions du DPO pour se maintenir à jour des évolutions importantes que connaissent actuellement les normes en la matière.
Comment garantir l’efficacité et l’indépendance du DPO ?
Le responsable de traitement qui emploi le DPO doit veiller à la mise à disposition de toutes les ressources nécessaires à l’exercice des missions évoquées précédemment : en particulier, celui-ci doit pouvoir accéder sur demande aux traitements de données réalisés pour en constater la tenue.
Du reste, si le DPO partage ce rôle avec une d’autres fonctions au sein de l’entité qui l’emploi, celle-ci doit veiller à lui allouer le temps suffisant pour les exercices de ses missions de DPO.
Le DPO doit aussi bénéficier d’une indépendance pour les besoins de ses fonctions, et son employeur doit veiller, à ne lui adresser aucune instruction à ce titre. En outre, le DPO rend compte directement (au moins via son rapport annuel) « au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».
Il est important de noter que le DPO n’est jamais lui-même responsable en cas de sanction pour défaut de conformité, et que le responsable de traitement ne doit pas le sanctionner en raison de l’exercice de cette fonction. Toutefois, il demeure responsable d’un point de vue disciplinaire défaut de conseil, ou pénalement (comme toutes personnes) s’il se rend directement coupable des infractions prévues par la loi Informatique et Libertés, ou en tant que complice du responsable du traitement ou le sous-traitant qui commettrais des traitements de données infractionnels.
Enfin, le DPO doit aussi être accessible à toute personne ayant des questions relatives aux traitements de leurs Données à Caractère Personnel (DCP et leurs droits afférents), qu’il s’agisse de personnel de l’entité ou de tierces personnes concernées par des traitements de leurs données personnelles. À ce titre, le DPO exerce ces fonctions en observant un secret professionnel strict.
Le DPO doit ainsi être correctement intégré dans l’entreprise, dans les process et les projets, et avoir accès à toutes les ressources (humaine et matérielle) nécessaires à l’exercice de sa fonction de manière à ce qu’il ne souffre pas d’entrave organisationnelle lors de son exercice.
Comment prévenir les conflits d’intérêt dans la nomination du DPO ?
Reste enfin un dernier critère crucial : la prévention des conflits d’intérêt. Pour ce faire, le DPO ne doit pas être une personne qui, par ses autres fonctions ou rôle auprès de l’entité, intervient dans la détermination des finalités ou des moyens des traitements de données personnelles effectuées par l’entité.
Par principe sont donc exclus la majorité des postes de direction classiques (secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), et pour les autres une appréciation au cas par cas doit être effectuée.
DPO et RSSI : un conflit d’intérêts ? La CNIL a tranché cette question qui s’est très vite immiscée dans les discussions liées à la désignation du DPO. En effet, le DPO comme le RSSI ont en commun de veiller à la protection des données (à caractère personnel). Dans son guide sur le DPO paru en 2022 la CNIL explique ainsi qu’« Un responsable de la sécurité des systèmes d’information peut être désigné DPO s’il ne dispose pas, en tant que RSSI, d’un pouvoir décisionnel dans la détermination des finalités et des moyens des traitements de données personnelles mis en œuvre par sa structure ».
Spécialiste en protection des données et droit du numérique, j’accompagne les entités privées et publiques pour mettre en place des SMPD (Système de Management de la Protection des données) tant en qualité de DPO externe que de coach au DPO ou de livrable à la demande. J’opère dans des systèmes d’information sensibles (santé privé et public, bancaire) et plus classique pour des entreprises ayant conscience de l’enjeu de la protection des données.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Les sociétés du groupe TVH Consulting
