Entré en application le 25 mai 2018, le Règlement général de protection des données (RGPD) requiert parfois la désignation d’un délégué à la protection des données personnelles. Successeur naturel du correspondant informatique et liberté (CIL), le DPO (pour data protection officer) se voit conférer un statut particulier.

Dans toutes les administrations et dans les entreprises privées traitant des données particulières (relatives à la santé, aux opinions philosophiques et politiques, aux infractions et aux condamnations pénales etc.) à grande échelle, et ce, de manière régulière et systématique, l’employeur doit désigner un délégué à la protection des données personnelles, un DPO (article 37 du RGPD). Celui-ci peut être un salarié de l’entreprise, mais l’employeur peut également faire le choix d’externaliser la fonction de DPO. Il est particulièrement important de faire le point sur ce nouveau statut, afin que soit désignée une personne compétente pour exercer les missions prévues par le RGPD.

Le DPO, successeur naturel du CIL ?

Le correspondant informatique et liberté (CIL) et le DPO ont des statuts similaires.

►La désignation d’un CIL exonérait l’employeur de son obligation de déclaration préalable lors de la mise en place d’un traitement automatisé de données concernant son personnel (bulletins de paie, contrôle d’accès à l’entreprise etc). Le CIL devait assurer de manière indépendante la conformité des traitements à la législation existante, et tenir un registre accessible à toute personne en faisant la demande.

Cependant, si la désignation du CIL était facultative, permettant à l’employeur d’échapper aux obligations de déclaration préalable, la désignation du DPO est désormais obligatoire dans certaines entreprises. D’autre part, les qualifications requises pour être DPO sont plus importantes que celles requises pour être CIL. Contrairement au CIL, le DPO doit pouvoir attester d’une certaine expertise. Ses qualifications sont renforcées car ses missions ont été accrues. Il doit ainsi assurer le respect du RGPD, coopérer avec la Cnil, être son contact privilégié lors des enquêtes sur la protection des données personnelles et aider à la tenue du registre des activités de traitement. Il doit être associé à toutes les opérations intéressant les données afin que les actions de traitement soient en conformité avec le RGPD. Dans ce cadre, son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement est accru.

S’il apparaît naturel que l’ancien CIL soit désigné en tant que DPO, il faut cependant être vigilant et respecter les nouvelles exigences. Au vu de ces éléments, il est donc très important de bien choisir le DPO.

Bien choisir le DPO

Qualités professionnelles et personnelles nécessaires à la fonction de DPO

Pour répondre aux nouvelles exigences et pour être certain que le DPO assurera correctement sa mission, l’employeur doit tenir compte de différents éléments pour effectuer son choix. Il doit d’abord désigner une personne joignable car le DPO sera l’interlocuteur privilégié de la Cnil. Il est donc recommandé de désigner un salarié situé dans l’UE.

Le DPO doit avoir un niveau d’expertise suffisant, proportionnée au type et au volume des données traitées par l’entreprise. Plus les données seront complexes, sensibles et nombreuses, plus le niveau d’expertise requis en matière de protection des données sera important. Il est donc très important d’avoir fait au préalable, une analyse d’impact sur la protection des données afin d’évaluer le niveau d’expertise requis pour exercer la fonction de DPO.

L’employeur doit également désigner un salarié disposant des qualités professionnelles nécessaires : il doit avoir une connaissance approfondie des règles en matière de protection des données, mais également du secteur d’activité de l’entreprise pour connaître la nature des données traitées par l’entreprise. Enfin, des connaissances en informatique sont fortement recommandées afin que le DPO puisse faire une analyse correcte des systèmes d’information et des besoins de l’employeur en termes de protection et de sécurité des données.

► L’employeur doit également choisir une personne disposant de qualités personnelles qui lui permettront d’exercer ses missions, telles que l’intégrité et un haut niveau de déontologie.

Éviter le confit d’intérêt

Le DPO peut effectuer, en parallèle de ses missions de DPO, d’autres missions et tâches mais l’employeur doit veiller à ce que cette situation n’entraîne pas de conflit d’intérêts (article 38 RGPD). L’employeur doit donc désigner un DPO qui ne soit pas à la fois juge et partie. Par conséquent, un salarié ne pourra pas être nommé DPO si sa fonction l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel

► Un certain nombre de fonctions peuvent donner lieu à conflit d’intérêts. Ainsi, il est préférable que le DPO n’exerce pas de fonction d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique).

Désigner une personne indépendante

L’employeur doit désigner une personne indépendante puisqu’il ne pourra lui donner aucune instruction en ce qui concerne l’exercice de ses missions. Le DPO ne doit en effet recevoir aucune instruction sur la manière de traiter une affaire ou sur le résultat à obtenir. Il doit pouvoir émettre des avis au niveau le plus élevé si les personnes qui ont à traiter les données personnelles prennent des décisions contraires aux dispositions du RGPD (article 38 RGPD).

Il est donc très important de bien choisir le DPO, et ce d’autant plus qu’il a un statut particulier qui lui offre un certain nombre de ressources et de garanties. Une fois le DPO désigné, l’employeur doit communiquer ses coordonnées sur le site de la Cnil.

Le statut particulier du DPO

Mettre des ressources suffisantes à sa disposition

L’employeur doit fournir au DPO les ressources nécessaires à l’exercice de ses missions (article 38 RGPD). L’employeur peut notamment décider de mettre en place un certain nombre de mesures :

  • mettre en place un soutien actif de la fonction de DPO par l’encadrement supérieur ;
  • laisser au DPO un temps suffisant pour accomplir ses missions ;
  • fournir un soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel, si nécessaire ;
  • communiquer les coordonnées du DPO dans l’entreprise afin que sa fonction et son existence soient connus de l’ensemble du personnel, qui peut alors le solliciter pour toutes les questions relatives à la protection des données ;
  • fournir au DPO l’accès aux autres services, notamment ceux traitant des données personnelles (RH, service juridique etc) ;
  • former le DPO de manière continue afin qu’il soit au courant des évolutions dans le domaine de la protection des données. La CNIL, sur son site, labellise un certain nombre de formations.

Il s’agit uniquement de recommandations, que l’employeur doit adapter en fonction de la taille de l’entreprise, de la complexité et de la sensibilité des données.

Le statut « protecteur » du DPO

Le RGPD a institué une sorte de statut protecteur du DPO. Ainsi, le DPO n’est pas personnellement responsable en cas de non-respect du RGPD (article 24 RGPD). Il existe toutefois des situations où sa responsabilité pénale peut être engagée, notamment s’il enfreint intentionnellement les dispositions pénales de la loi Informatique et Libertés ou si, agissant en tant que complice, il aide le responsable du traitement ou le sous-traitant à les enfreindre.

D’autre part, l’employeur doit être particulièrement vigilant s’il souhaite sanctionner ou licencier le DPO. En effet, le DPO ne peut pas être relevé de ses fonctions ou sanctionné pour l’exercice de ses missions (article 38 RGPD).

Exemple : si un DPO considère qu’un traitement est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPO, ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis.

L’employeur doit donc être vigilant quant à ce nouveau « statut protecteur » créé pour le DPO. Tous les types de sanctions sont concernés. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres travailleurs. Une simple menace caractérise une sanction si elle est utilisée pour sanctionner le DPO pour des motifs liés à ses activités.

Attention : ce statut est cependant différent de celui des salariés protégés, au sens du droit français. L’employeur pourra donc licencier ou sanctionner le salarié pour des motifs autres que l’exercice de ses missions de DPO (par exemple, vol, harcèlement, etc) : il n’existe pas de procédure spéciale de licenciement.

 Il faudra attendre les premières décisions des juges, mais il nous semble que toutes les sanctions mises en oeuvre à l’encontre d’un DPO seront nécessairement davantage contrôlées par les juges lors du contentieux. Il faut donc que la justification de la sanction ou du licenciement soit explicitement et expressément différente de l’exercice des missions de DPO. Il n’est pas non plus précisé comment le DPO peut être remplacé ou licencié, il faut donc être extrêmement prudent et confier cette fonction à un salarié de confiance.

Source – Actuel CE

Please follow and like us:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

RSS
Follow by Email
Facebook
Facebook
LinkedIn