Lille / Paris / Nice

Foire aux questions sur la fonction de DPO

Tout savoir sur le métier de DPO
Le Data Protection Officer

Vous vous interrogez sur la fonction de Data Protection Officer ? Vous ne savez pas encore ce qu’est un DPO ? Vous vous demandez quelles sont vos obligations vis à vis de cette fonction ? Si vous pouvez externaliser cette fonction ? Ou l’internaliser ?

Vous devriez certainement trouver des éléments de réponse au travers de notre FAQ, qui se veut la plus exhaustive possible. Vous y trouverez des questions-réponses à la portée des novices du sujet, mais pouvant également se révéler intéressantes pour les experts du domaine (nous avons toujours à apprendre, n’est-ce pas? 🙂 )

N’hésitez pas à nous faire part de questions complémentaires qui pourraient enrichir cette base de connaissances.

Qu’est-ce qu’un DPO ?

DPO est l’abréviation de « Data Protection Officer ». Le DPO est une fonction instaurée par le Règlement Général sur la Protection des Données Personnelles (RGPD). Peut être nommé DPO une personne physique interne ou externe d’une entité (administration publique, entreprise privée, etc.).

« Data Protection Officer » est devenu un métier à part entière mêlant des compétences relevant de différents secteurs d’activités : juridique, de gestion des risques, de sécurité informatique, etc.

Certaines entités ont l’obligation de nommer un DPO en vertu des dispositions du RGPD. Pour celles n’ayant pas une telle obligation, la nomination volontaire d’un DPO est possible et encouragée.


Quelle est la différence entre un DPO et un CIL ?

Le CIL ou « Correspondant Informatique et Libertés » est, d’une certaine manière, l’ancêtre du DPO. Jusqu’en mai 2018, le CIL était la personne désignée auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) afin d’assurer certaines missions relatives à la protection des données personnelles au sein d’une entité.

La fonction de CIL a disparu avec l’entrée en vigueur du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Les missions du CIL étaient distinctes de celles du DPO : d’une part car le CIL disposait de moins d’obligations que le DPO, et d’autre part, car la nomination d’un CIL était en toutes circonstances facultative.


Quelle est la différence entre un DPO et un Délégué à la Protetion des Données (DPD) ?

La notion de DPD ou « Délégué à la Protection des Données » est identique à celle de DPO ou « Data Protection Officer ». DPD est la traduction française du terme DPO. Cette traduction est présent au sein de la version française du RGPD.

Ces deux notions renvoient donc en réalité à une même et unique fonction, mais dans deux langues différentes.

Il est à noter que la notion de DPO est très couramment utilisée, y compris en France où elle domine très largement celle de DPD.


Quels articles réglementaires encadrent la fonction de DPO ?

La section IV du Règlement Général sur la Protection des Données Personnelles intitulée « Délégué à la Protection des Données » décrit quelles sont les obligations et droits encadrant la fonction de Data Protection Officer.

Plus spécifiquement, l’article 37 du RGPD vient fixer dans quels cas la nomination d’un DPO est obligatoire.

L’article 39 décrit les missions à charge d’un Data Protection Officer, tandis que l’article 38 vient préciser sous quelles modalités ces missions doivent être exécutées.


Le G29 a-t-il publié des lignes directives sur le DPO ?

Oui.
Le G29 (Groupe de travail de l’article 29), entité regroupant les différentes autorités de protection de données à caractère personnel européennes, a adopté le 5 avril 2017 les lignes directrices (ou Guidelines en anglais) wp243rev.01 consacrées à la fonction de Data Protection Officer.

Ces lignes directrices sont disponibles sur le site de la Commission Européenne.

Ces guidelines viennent préciser certaines dispositions du RGPD afin de faciliter sa compréhension et sa mise en œuvre pratique. C’est ainsi que le G29 a eu l’occasion de préciser certaines dispositions du Règlement, dont la seule lecture peut laisser une grande place à l’interprétation. Tel est par le cas des notions de « activités de base », « à grande échelle » ou de « suivi régulier et systématique » qui concernent tout particulièrement la fonction de Data Protection Officer.


La nomination d’un DPO est-elle obligatoire ?

La nomination d’un Data Protection Officer est obligatoire dans certaines situations. Le RGPD fixe les conditions dans lesquelles une entité doit impérativement, sous peine de sanctions, nommer un DPO :

  • pour l’ensemble des organismes et autorités publiques ;
  • en cas de suivi régulier des données d’un individu à grande échelle ;
  • en cas de traitement de catégories particulières de données à caractère personnel à grande échelle (à noter que constituent de telles données, à titre d’exemple, les données de santé, les données relatives aux opinions politiques, philosophiques, religieuses, etc.).

Ces conditions doivent être appréciées au cas par cas. Si vous faîtes le choix de ne pas nommer un DPO, il faudra en toutes circonstances documenter et justifier votre démarche vis-à-vis des critères listés ci-dessus.


Puis-je nommer un DPO sans en avoir l’obligation ?

Bien entendu ! C’est d’ailleurs une pratique largement encouragée par le G29, ainsi que par de nombreuses autorités de protection des données en Europe.

La nomination d’un DPO en dehors de toute obligation légale doit permettre de favoriser la conformité d’une entité aux règles de protection des données personnelles. Cet acteur pourra se positionner comme véritable chef d’orchestre de la conformité des activités de son entité vis-à-vis des dispositions du RGPD.


Est-il possible de nommer un DPO mutualisé pour plusieurs entités morales distinctes ?

C’est une possibilité offerte par le RGPD qui permet de rationaliser la nomination de cette fonction. La mutualisation d’un Data Protection Officer permet la nomination d’un même DPO pour différentes entités juridiques distinctes. Cette possibilité est particulièrement intéressante pour les groupes d’entreprises constituées de plusieurs entités morales distinctes ainsi que pour les entités publiques telles que les agglomérations urbaines ou les différentes entités publiques d’une même ville.

Si votre choix se porte sur la mutualisation d’un DPO, ce dernier doit rester « facilement joignable à partir de chaque lieu d’établissement » en vertu des dispositions de l’article 37 du RGPD.


Quel est le risque de sanction en l’absence de nomination d’un DPO ?

Conformément aux dispositions de l’article 83 du RGPD, les entités ayant l’obligation de nommer un Data Protection Officer et ne respectant pas une telle obligation risquent de se voir infliger des amendes administratives par les autorités de contrôle compétentes (la Commission Nationale de l’Informatique et des Libertés – CNIL – en France par exemple).

Pour cette violation spécifique (on parle ici uniquement de l’absence de nomination), l’amende maximale encourue est de 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. La somme la plus élevée des deux montants est retenue comme étant la somme maximale de l’amende administrative pouvant être prononcée à l’encontre de l’entité fautive.


Combien de DPO sont nommés en France ?

Isabelle Falque Pierrotin, Présidente de la CNIL en France, estime qu’à compter du 25 mai 2018, la France va devoir se doter de 80 000 Data Protection Officer. Les premiers chiffres de ces désignations devraient être disponibles début 2019 lors de la publication du bilan de l’exercice 2018 de la CNIL.

En 2017, ce sont seulement 5107 Correspondants Informatique et Libertés qui étaient désignés en France pour quelques 18 802 organismes.


Comment puis-je nommer officiellement un DPO auprès de la CNIL ?

Nous vous détaillons pas à pas comment désigner un DPO en France au sein de notre article dédié.

La Commission Nationale de l’Informatique et des Libertés a mis en place un formulaire permettant de désigner son Data Protection Officer, disponible à l’adresse suivante : http://designations.cnil.fr/dpo/designation/.

Les désignations s’opèrent entité par entité, ce qui ne se révèle pas très pratique lorsque vous devez désigner un DPO pour de nombreuses entités simultanément. Au titre des informations devant être intégrées lors de la désignation, figurent notamment le nom et les coordonnées du responsable de l’entité concernée, l’identification du DPO nommé (internalisé ou externalisé), ses coordonnées à destination de l’autorité de contrôle ainsi que ses coordonnées publiques.

Lorsque vous avez recours aux prestations de DPO externalisé de Mon DPO Externe, nous nous chargeons de procéder à cette désignation pour votre compte.


Un DPO peut-il être révoqué de ses fonctions ?

En droit français, le DPO ne bénéficie pas d’un statut de salarié protégé au même titre, à titre d’exemple, qu’un représentant du personnel.

En revanche, le Data Protection Officer bénéficie d’une certaine protection au sein du Règlement Général sur la Protection des Données. Cette protection a pour but de favoriser l’exécution des missions du DPO en toute indépendance et ainsi favoriser la protection des données au sein d’une entité, grâce à un jeu de contre-pouvoir vis-à-vis du responsable de traitement. L’article 38 du RGPD dispose à cet effet que le DPO ne peut pas être « relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». Ce même article dispose par ailleurs que le DPO ne peut pas recevoir d’instructions en ce qui concerne l’exécution de ses missions.


Le Data Protection Officer est-il tenu par le secret professionnel ?

Conformément aux dispositions du RGPD, le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

Lorsque vous décidez d’avoir recours aux services externalisés de Mon DPO externe, un engagement de confidentialité est en complément signé, vous garantissant ainsi la parfaite confidentialité des informations communiquées à votre DPO externe durant l’exécution de ses missions.


Le DPO peut-il effectuer d’autres tâches et missions que celles de Data Protection Officer ?

Oui, à condition que ces tâches n’entraînent pas de conflit d’intérêt dans sa fonction de Data Protection Officer.

C’est un point capital et souvent complexe à concilier dans une entité, notamment de petite taille. Pour que ces autres tâches et missions n’entraînent pas de conflit d’intérêt, il ne faut pas qu’elles puissent amener le DPO à devoir prendre des décisions qui seraient dans leur intérêt contraires au seul respect de la réglementation en matière de protection des données personnelles. Le DPO ne doit théoriquement pas devoir mettre en balance les intérêts commerciaux de son entité face aux intérêts de protection des droits fondamentaux en matière de protection des données personnelles.


Un Directeur ou membre du Comité exécutif peut-il être nommé DPO ?

Afin d’éviter tout risque de conflit d’intérêts tels que disposés au sein de l’article 38 du RGPD, un membre dirigeant ou membre du coté exécutif d’une entité ne peut pas, à priori, être nommé DPO. L’exercice de ces deux missions est en effet incompatible dans la mesure où elles nécessitent de réaliser une balance constante entre des intérêts métiers, commerciaux et réglementaires en vu de développer l’activité d’une entité.

Autrement dit, un dirigeant effectif pourrait préférer privilégier les intérêts commerciaux de son entité au détriment de ses obligations réglementaires et notamment des dispositions du RGPD.


Quelles compétences sont requises pour être nommé DPO ?

Le RGPD se contente de disposer que le Data Protection Officer doit en particulier disposer de connaissances spécialisées en droit des données personnelles, et avoir les facultés d’exercer ses missions.

En fonction du niveau de complexité des missions devant être menées par le DPO, il revient à chaque responsable de traitement de faire une analyse au cas par cas afin de déterminer quelles sont les compétences que doit posséder le DPO qu’il nommera au sein de son entité.

Compte-tenu de la variété des missions devant être à charge d’un DPO, Mon DPO Externe considère que le DPO doit être doté de quatre compétences fondamentales :

  • juridique : il doit maîtriser les concepts de droit et notamment les réglementations relatives à la protection des données personnelles ;
  • d’analyse et et de gestion des risques : afin d’accompagner efficacement son responsable de traitement et être en mesure de réaliser des études d’impacts sur la vie privée ;
  • de sécurité des systèmes d’information : pour comprendre les enjeux de sécurité des données et être en mesure de déterminer les mesures techniques et organisationnelles appropriées ;
  • de pilotage de projet : le rôle de DPO est éminemment transverse. Le Data Protection Officer doit être en mesure de travailler avec des directions et des profils variés, en étant bon communiquant et pédagogue.

Existe-t-il des formations spécialisées pour les DPO ?

Depuis de nombreuses années, il existe des Master II spécialisés en droit des nouvelles technologies qui abordent de manière pointue les matières liées à la protection des données personnelles.

Mais depuis l’entrée en vigueur du RGPD, de nombreuses formations ont émergées pour les apprentis DPO. Le niveau et la pertinence de ces formations varie énormément. La plupart de ces formations sont dispensées sur 1 année et permettent à des personnes étant déjà spécialisées dans un domaine (juristes, chefs de projets, ingénieurs, etc.) d’obtenir une spécialisation dite de « DPO ».