Avant l’entrée en vigueur du RGPD, aucune obligation ne pesait sur les organismes traitant des données à caractère personnel concernant la nomination d’un collaborateur compétent sur le sujet.
Depuis cette nomination est devenue quasi-obligatoire pour l’ensemble des organismes traitant des données à caractère personnel.
Cette obligation a été comprise, et le nombre de déclaration de DPO auprès de l’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés, dit CNIL, est en constante progression. Ainsi en 2018, l’année d’entrée en vigueur du RGPD, le nombre de nominations était de 13 000, et celles-ci sont passées à 19 000 en 2019. Cette augmentation prouve la nécessité pour les organismes de nommer un expert pour les accompagner dans leurs démarches de mise en conformité.
Pourquoi faire appel à un DPO ?
Si sa mission peut paraitre floue au départ, elle prend tout son sens lorsque les organismes entament leur mise en conformité aux dispositions du RGPD. Même avec beaucoup de bonne volonté, les compétences juridiques et techniques nécessaires au processus de mise en conformité ne peuvent être remplacées.
Le DPO va être chargé de veiller à la mise en pratique des dispositions du RGPD, mais surtout à sa bonne application.
Ainsi, Il doit s’assurer que l’organisme qui l’a désigné, respecte le RGPD et assure un niveau maximum de sécurité autour des données à caractère personnel collectées. De par ses fonctions et missions, le DPO joue le rôle d’intermédiaire entre les organismes, ses sous-traitants, et les personnes concernées par le traitement de leurs données à caractère personnel.
Le Délégué à la Protection des Données est également le point de contact privilégié de la CNIL lors d’un contrôle, ou lors de toutes demandes d’informations.
Quand la nomination d'un DPO est-elle obligatoire ?
La nomination d’un Délégué à la Protection des Données devient obligatoire dans un certain nombre de cas, mais une nomination est également conseillée dans d’autres situations.
Le RGPD énumère ainsi les cas dans lesquels la nomination d’un DPO est obligatoire (article 37 du RGPD) :
- Lorsqu’un traitement de données à caractère personnel est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
- Lorsque les activités de base du Responsable du traitement ou de son Sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
- Lorsque les activités de base du Responsable du traitement ou du Sous-traitant consistent en un traitement à grande échelle de catégories de données dites « sensibles » ou de données à caractère personnel relatives à des condamnations pénales et à des infractions
Cas n°1 : Vous êtes une autorité publique ou un organisme public
Cette hypothèse vise l’État, les collectivités territoriales, les organismes de droit public, et les associations formées par des organismes de droit public : groupements de communes, départements, établissements publics...
Cette obligation de nomination s’explique par le fait que les autorités publiques et organismes publics ont une responsabilité envers le public et ne doivent pas commercialiser ou traiter des données à caractère personnel sans conséquences. Une obligation renforcée leur est donc naturellement imposée.
De plus, un seul DPO peut être désigné pour plusieurs autorités ou organismes publics, en raison de leur structure organisationnelle et de leur taille (article 37.3 du RGPD), leur permettant ainsi de mutualiser leurs ressources et moyens dans le cadre de leur démarche de mise en conformité.
Cas n°2 : Vous mettez en place un traitement à grande échelle
Un traitement à grande échelle est un traitement qui vise à traiter un important volume de données à caractère personnel au niveau régional, national ou international, et qui peut affecter un nombre important de personnes concernées et qui est susceptible d’engendrer un risque élevé pour les droits et libertés (Article 91 du RGPD).
Exemples de traitements à grande échelle :
- Traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités
- Traitement des données de voyage des passagers utilisant un moyen de transport public urbain
- Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité
Cas n°3 : Vous traitez des données sensibles
Le RGPD liste les données à caractère personnel considérées comme sensibles et qu’il est en principe interdit de traiter par les organismes (article 9 du RGPD).
Sont considérées comme sensibles les données à caractère personnel d’une personne relatives à :
- L’origine raciale
- L’origine ethnique
- Les opinions politiques
- Les convictions religieuses et philosophiques
- L’appartenance syndicale
- Les données génétiques et biométriques
- Les données de santé
- Les données concernant la vie sexuelle ou l’orientation sexuelle
Lorsque vous vous trouvez dans un de ces cas, la nomination d’un Délégué à la protection des données est obligatoire. De plus, un seul et même délégué peut être désigné au sein d’un groupe d’entreprise (article 37.2 du RGPD).
Recourir à un DPO mutualisé peut être particulièrement intéressant puisque cela permet d’avoir une politique commune au sein d’un même groupe d’entreprises et de rationaliser les coûts associés à la fonction de DPO.
Toutefois la mutualisation d’un DPO ne sera possible que si :
- Le DPO est facilement joignable par chacun des organismes du groupement
- Le DPO est en mesure de communiquer facilement et efficacement avec les personnes concernées au sein du groupement
Quand la nomination d'un DPO est-elle conseillée ?
Même lorsqu’il ne pèse aucune obligation pour votre organisme de nommer un Délégué à la Protection des Données, il est conseillé dans certaines situations de songer à sa nomination.
Lorsque vous débutez votre mise en conformité
Débuter sa mise en conformité aux règles relatives à la protection des données à caractère personnel n’est pas toujours chose aisée. C’est la raison pour laquelle la désignation d’un DPO s’avère être une aide précieuse.
En effet, faire appel à un véritable expert en matière de protection des données à caractère personnel va permettre aux organismes d’accélérer leur mise en conformité au RGPD.
Lorsque vous mettez en place un traitement de données à caractère personnel régulier
Un traitement de données à caractère personnel régulier se caractérise par :
- Une permanence ou un déclenchement à des intervalles particuliers pour une période donnée
- Une récurrence ou une répétition à des heures fixes
- Un déroulement constant ou périodique
Exemple de traitement de données à caractère personnel régulier : gestion de la paie au sein d’un organisme, gestion d’une newsletter ….
Il est conseillé à l’organisme en charge d’un traitement régulier de désigner un DPO qui l’accompagnera tout au long de l’ensemble des activités de traitement, de par ses missions d’informations et de conseils.
Le DPO s’assurera également de la mise en conformité du traitement avec le RGPD, afin d’éviter toute sanction administrative.
Lorsque votre organisme est exposé à d’importants risques
Lorsque l’activité de votre organisme s’inscrit dans un secteur ultra-concurrentiel, comme les nouvelles technologies, il apparait important de tout mettre en œuvre pour s’assurer de la bonne avancée de vos projets. Le recours à un DPO est primordial dès la naissance des projets pour s’assurer que les outils construits répondent aux normes sur la protection des données à caractère personnel.
Parallèlement des secteurs industriels, comme le secteur pharmaceutique ou l’automobile, sont des secteurs d’activité où le risque de piratage est important. Il est nécessaire dans ce contexte de se prémunir contre de potentielles fuites de données, ou contrôles impromptus par la CNIL.
Quels risques en cas de défaut de DPO ?
Les organismes qui ont l’obligation de désigner un DPO (article 37 du RGPD) risquent de se voir infliger des amendes administratives par l'autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés, dit CNIL, en cas d’absence de désignation d’un DPO. La sanction sera d’ordre pécuniaire pour la violation d’une telle obligation :
- Jusqu’à 10 millions d’euros d’amende
- Jusqu’à 2% du chiffre d’affaires mondial total
En dehors de toute obligation réglementaire, la désignation d’un DPO au sein d’un organisme constitue un avantage stratégique.
En effet, la présence d’un DPO permet à l’organisme concerné d’élever son niveau de conformité en matière de protection des données à caractère personnel, lui permettant de gagner tant en compétitivité que vis-à-vis de la confiance de sa clientèle et de ses collaborateurs
Quel type de DPO nommer ?
Demander à un salarié de se former à la protection des données à caractère personnel ? Nommer le juriste de l’organisation ? Avoir recours à un prestataire ou DPO externe ? Les solutions sont légions, et la bonne solution ne repose que sur vous et l’organisation que vous souhaitez adopter.
Ainsi si vous êtes un groupement de société, vous pouvez décider de mutualiser le DPO, et d’avoir recours à une seule personne. Le RGPD laisse une certaine liberté aux organismes quant au choix de leur DPO, et ne prévoit pas de règles contraignantes à part concernant sa compétence.
Les organismes en charge de traitement de données à caractère personnel pourront désigner un DPO interne, ou externe ; voir même mutualisé au sein d’un groupe d’entreprises.