Lille / Paris / Nice

Désigner un même DPO pour plusieurs entités : le choix du DPO mutualisé

Une même personne peut être nommée Data Protection Officer (DPO) pour plusieurs entités. On parle alors de DPO mutualisé.

Cette solution peut-être particulièrement intéressante pour certaines entités (groupes d’entreprises, collectivités territoriales, etc.) qui souhaiteraient mutualiser leurs ressources et moyens dans le cadre de leur démarche de mise en conformité aux règlementations en matière de protection des données personnelles. Le Règlement général sur la protection des données (RGPD) permet la nomination d’un DPO mutualisé dans certaines circonstances. Explications.

Le DPO mutualisé pour les groupes d’entreprises privées

L’article 37 du RGPD ouvre la voie à la nomination d’un unique DPO pour les groupes d’entreprise :

Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

Le groupe d’entreprises peut faire le choix de nommer un DPO interne (salarié d’une des entités du groupe) ou un DPO externe (sur la base d’un contrat de service) en qualité de DPO mutualisé.

La notion de “groupe d’entreprises”

 

La notion de “groupe d’entreprises” est définie à l’article 4 du RGPD comme étant “une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle”. Le considérant 37 du RGPD vient préciser cette définition en indiquant que ce contrôle peut se caractériser par une influence dominante sur des entreprises contrôlées, comme une détention de capitale, une participation financières ou la capacité de l’entreprise dominante à faire appliquer des règles au sein des entreprises contrôlées.

En pratique, un groupe d’entreprise sera bien souvent constituée d’une maison mère et de ses filiales (c’est à dire d’entités disposant de leur propre personnalité morale mais étant détenues ou contrôlées par la maison mère).

Un DPO mutualisé “facilement joignable”

Seule condition notable à la nomination d’un même DPO pour les différentes entités d’un groupe : ce dernier doit être facilement joignable à partir de chaque lieu d’établissement. L’European Data Protection Board (EDBP) a eu l’occasion de préciser qu’il convient d’entendre derrière cette condition le fait que :

  • Le DPO soit accessible pour que les personnes concernées par un traitement réalisé par une des entité du groupe puissent le contacter ;
  • Le DPO soit joignable par l’autorité de contrôle ;
  • Le DPO soit joignable en interne pour l’ensemble des entités pour lesquels il est désigné.

Lors que le groupe d’entreprises est international, cette joignabilité doit impérativement prendre en compte les éventuelles barrière de langue. Il conviendra donc, soit de constituer des relais locaux au DPO mutualisé, soit de garantir qu’une langue commune (l’anglais par exemple) permette une communication efficace avec l’ensemble des interlocuteurs du groupe d’entreprise, des personnes concernées et des autorités de contrôle.

Cas concret : modèle d’organisation d’un DPO mutualisé au sein d’un groupe international de textile

Le groupe Angsoc est spécialisé dans l’industrie du textile. Il dispose d’une maison mère Océania, dont le siège est situé à Paris, embauchant plusieurs milliers de salariés et fournissant l’ensemble des services supports (RH, communication, finance, comptable, informatique, juridique, etc.) à ses 3 filiales. Ses filiales sont respectivement spécialisées dans la fabrication textile (activité de production), la commercialisation en magasin (activités de vente) et la commercialisation en ligne (activité de e-commerce). Les filiales disposent chacune d’établissements dédiés à Paris, Londres et Varsovie. La maison mère Océania ainsi que ses 3 filiales traitent chacune des données à caractère personnel.

Le groupe Angsoc souhaite uniformiser et rationaliser la mise en conformité de ses activités aux règles en matière de protection des données personnelles. Il décide donc de nommer Monsieur Winston en qualité de DPO mutualisé pour ses 4 entités : la maison mère ainsi que ses 3 filiales. Monsieur Winston est rattaché au siège social de la maison mère Océania, à Paris.

Cette nomination est possible dans la mesure où le groupe Angsoc constitue bien un groupe d’entreprises au sens du RGPD : la maison mère Océania exerce le contrôle de ses 3 filiales, car, d’une part, elle en détient la majorité du capital social, et d’autre part, elle définie au niveau du groupe la politique de ses filiales.

Afin d’être joignable à partir de chaque lieu d’établissement, le DPO mutualisé a nommé au sein de chacun des établissements du groupe des “référents DPO“. Ces référents, qui ont suivi une formation aux règlementations en matière de protection des données personnelles, ont tous une appétence pour les enjeux de vie privée. Ils disposent de connaissances juridiques et ont un poids suffisant pour coordonner des actions au niveau de leurs établissements respectifs. Le DPO mutualisé anime ce réseau en partageant aux référents des procédures de gestion des demandes liées aux données personnelles, ainsi qu’en les informant régulièrement des actualités en matière de protection des données personnelles. Les référents sont les interlocuteurs directs des salariés de leurs établissements respectifs et sont ainsi à même de traiter des demandes de premier niveau. En cas de doute et/ou si cela le nécessite, ils entrent en contact direct avec le DPO mutualisé qui gère les problématiques plus poussées et s’assure de l’uniformisation des pratiques au sein du groupe. Le DPO, dont la langue maternelle est le français, communique avec ses référents étrangers en anglais. Ces derniers s’occupent de réaliser les traductions adéquates pour leurs établissements et/ou pour communiquer avec leurs autorités de contrôle locales.

Grâce à son rôle de DPO mutualisé, Monsieur Winston est en mesure de créer une dynamique de mise en conformité harmonisée au sein de l’ensemble du groupe Angsoc. Le sujet de la protection des données personnelles bénéficie d’une meilleur visibilité interne au sein de l’ensemble des entités. Ainsi, les risques associées à d’éventuelles non-conformité sont globalement maîtrisés et les trous dans la raquette bouchés.

 


Le DPO mutualisé pour les collectivités publiques

Les autorités publiques et organismes publics (qui ont l’obligation de désigner un DPO en vertu de l’article 37 du RGPD) ont également la possibilité de désigner un DPO mutualisé. L’article 37, 3) du RGPD vient préciser qu’une telle désignation est possible “compte tenu de leur structure organisationnelle et de leur taille“.

Faire le choix d’un DPO mutualisé est particulièrement intéressant pour les collectivités publiques de petite taille qui n’auraient pas la capacité et/ou les compétences pour désigner un DPO dédié. Cette mutualisation ne sera cependant possible qu’entre autorités et organismes publics : une mutualisation avec une entité privée semble être exclue par la lettre du RGPD.

Les collectivités publiques ont tout intérêt à utiliser les formats de mutualisation qui sont déjà à leur disposition et qu’elles utilisent déjà, tels que prévu au sein du Code général des collectivités territoriales. A l’instar des communautés de commune (prévues au Chapitre IV du Code suscité) qui sont des établissements public de coopération intercommunale regroupant plusieurs communes d’un seul tenant et sans enclave et dont l’objectif principal est d’associer des communes au sein d’un espace de solidarité, en vue de l’élaboration d’un projet commun de développement et d’aménagement de l’espace ; les différentes communes d’une communauté de commune pourraient très bien faire le choix de mutualiser leur DPO.

Les collectivités publiques faisant le choix de mutualiser leur DPO doivent tout de même être vigilante à ce que :

  • le DPO mutualisé dispose bien des ressources adéquates pour assurer les missions de Data Protection Officer lui incombant pour l’ensemble des entités mutualisées (en dépit du fait qu’il soit désigné pour plusieurs autorités ou organismes publics) ;
  • à l’instar des conditions de mutualisation pour les entités privées, le DPO mutualisé de collectivité publiques doit être facilement joignable pour chacune des collectivités qu’il représente.

Vous souhaitez désigner un DPO mutualisé ? Découvrez comment désigner un Data Protection Officer mutualisé auprès de la CNIL.