Le Règlement général sur la protection des données (RGPD) a instauré la fonction de Data Protection Officer (DPO) ou de Délégué à la Protection des Données (DPD) dans sa traduction française. Cette nouvelle fonction succède aux CIL, les Correspondants Informatique et Libertés dont la nomination était jusqu’au 25 mai 2018 facultative. Il existe des différences fondamentales entre les missions du CIL et du DPO. Mais le principal bouleversement provient très certainement du fait que la fonction de DPO est devenue obligatoire pour certaines entités publiques et privées (certaines associations, entreprises, mairie, hôpitaux, etc.). Devez-vous obligatoirement nommer un DPO ? Oui, si vous répondez à certains critères. Decryptage.
Première étape : documenter votre démarche
Que vous soyez dans l’obligation ou non de désigner un Data Protection Officer, il faut en toutes circonstances que vous documentiez votre choix. L’European Data Protection Board (EDBP) recommande d’ailleurs au sein des lignes directrices concernant les DPO (WP 243 rev.01) qu’une analyse interne soit systématiquement réalisée aux fins de démontrer que l’ensemble des facteurs pertinents furent bien pris en compte pour déterminer si la désignation du DPO est une obligation ou non pour l’entité concernée. Bien que les critères de désignation soient définis règlementairement, leur interprétation peut rester sujette à interprétation.
Classiquement, cette documentation prendra la forme d’un fichier WORD ou EXCEL intégrant les hypothèses dans lesquelles la désignation d’un DPO est obligatoire et détaillera en quoi, dans le cadre du contexte spécifique de l’entité concernée, ce critère est rempli ou non. Cette documentation doit pouvoir être mise à disposition d’une autorité de contrôle (la CNIL en France) et servira à démontrer les démarches mises en œuvre par l’entité pour respecter ses obligations règlementaires. Elle sera particulièrement utile dans l’hypothèse pour laquelle l’entité a décidé de ne pas procéder à la désignation d’un DPO et qu’une telle position serait remise en cause par une autorité de contrôle.
Seconde étape : déterminer si vous avez l’obligation de désigner un DPO
Critères légaux de désignation
L’article 37 du Règlement Général sur la Protection des Données (RGPD) vise 3 situations dans lesquelles la désignation d’un DPO est obligatoire :
- le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public (cas n°1) ;
- l’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus (cas n°2) ;
- l’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) et de données relatives à des condamnations pénales ou des infractions (cas n°3).
Si l’un de ces trois critères est rempli, l’entité concernée a l’obligation de désigner un DPO. Pour bien comprendre la portée de ces critères, quelques précisions complémentaires s’imposent.
Cas n°1 : le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public
Le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public
Définitions
Les termes “autorité publique” et “organisme public” ne sont pas définis par le RGPD. L’EDPB vient préciser que ces notions doivent être définies au cas par cas eu égard aux définitions des différents droits nationaux. Quelques éléments de précision peuvent également se trouver au sein du droit européen et notamment de la Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public et de la Directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services. Ces Directives viennent notamment définir les notions “d’organisme du secteur public” et “d’organisme de droit public” :
Les “organismes du secteur public” sont l’État, les collectivités territoriales, les organismes de droit public et les associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public.
Les “organisme de droit public” sont tout organisme : a) créé pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial, et b) doté de la personnalité juridique, et c) dont soit l’activité est financée majoritairement par l’État, les collectivités territoriales ou d’autres organismes de droit public, soit la gestion est soumise à un contrôle par ces derniers, soit l’organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les collectivités territoriales ou d’autres organismes de droit public.
La notion “d’organismes de droit public” est-elle même précisée par la jurisprudence. A cet égard, la Cour de Justice de l’Union Européenne (CJUE) a notamment pu indiquer que :
- les trois critères suscités sont cumulatifs pour qu’un organisme soit considéré comme étant de droit public (CJUE, 15 janvier 1998, Mannesmann Anlagenbau Austria AG s.a, aff. C-44/96) ;
- la nature de l’entité morale (entité publique ou privée) n’a pas d’impact sur la qualification “d’organisme de droit public” (CJUE, 15 mai 2003, Commission c/ royaume d’Espagne, aff. C-214/00) ;
- diverses jurisprudences, qu’il serait trop long de détailler ici, viennent également préciser les critères suscités.
Déterminer si un traitement de données personnelles est effectué par une autorité publique ou un organisme public n’est pas toujours chose aisée, notamment en raison du manque de précision de ces notions, qui n’ont pas une signification identique au sein de l’ensemble des pays membres de l’Union Européenne. Documenter son interprétation de ces notions est d’autant plus important. En cas de doute, ayez recours à un conseil externe spécialisé.
Exclusions
Conformément à l’article 32 de la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, Les juridictions (tribunaux et autres autorités judiciaires indépendantes) peuvent être dispensées (c’est au cas par cas en fonction des États membres de l’Union européenne) de nommer un Data Protection Officer.
Exemples d’autorités et d’organismes publics
Eu égard aux définitions précédentes, voici quelques exemples d’entités qui seront considérées comme des autorités et/ou des organismes publics et qui doivent à ce titre obligatoirement désigner un Data Protection Officer :
- Collectivités territoriales (communes, départements, régions, etc.) ;
- Établissements publics locaux (centres d’action sociale, etc.)
- Universités ;
- Établissements scolaires publics ;
- L’administration centrale de l’état (Ministères, services du Premier Ministre, etc.) ;
- Établissements publics (EPLE, EPST, EPCC, EPCE, EPS, SDIS, etc.) ;
- Musées nationaux publics ;
- etc.
Cas n°2 & 3 : l’entité a pour activités de base la mise en œuvre de traitements à grande échelle, de catégories particulières de données OU qui exigent un suivi régulier et systématique d’individus
Dans ces deux hypothèses, certaines notions nécessitent des explications complémentaires, à l’instar “d’activités de base“, de “grande échelle“, de “catégories particulières de données” et de “suivi régulier et systématique“.
Les “activités de base” d’une entité
Les cas n°2 et 3 sont concernés par cette notion. Le considérant 97 du RGPD fournie une précision concernant celle-ci :
Les activités de base d’un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire.
L’EDBP apporte également quelques précisions d’interprétation. Les “activités de base” doivent être entendues comme étant l’ensemble des activités essentielles qui vont permettre à une entité d’exercer son activité principale ; son cœur de métier. A contrario, ne constituent pas des “activités de base” d’une entité, toutes ses activités supports, qui sont traditionnellement communes à l’ensemble des entités (la gestion de la rémunération des salariés par exemple) hormis, bien entendu, si de telles activités constituent bien le cœur d’activité de l’entité concernée (comme pour un cabinet de gestion de la paie). Ainsi, même si une entité est amenée à traiter de nombreuses données sensibles (données de santé à titre d’exemple) dans le cadre de l’une de ses activités subsidiaires (gestion des absences de son personnel à titre d’exemple), elle ne sera pas pour autant soumise à l’obligation de désigner un DPO.
La mise en œuvre d’un traitement à “grande échelle”
Les cas n°2 et 3 sont concernées par cette notion. La règlementation au même titre que les autorités nationales et européennes ne fixent pas de seuils à partir desquels un traitement de données personnelles est considéré comme étant “à grande échelle“. Il convient d’opérer une analyse au cas par cas. Le considérant 91 du RGPD fournie une brève précision concernant cette notion :
(…) aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées (…)
L’EDPB apporte également quelques précisions afin de mieux définir cette notion. L’organe européen indique au sein de ses lignes directrices (WP 243 rev.01) qu’il convient notamment de prendre en compte le nombre de personnes impactées (en valeur absolue ou en pourcentage par rapport à la population concernée), la durée ou permanence des activités de traitement, l’étendue géographique du traitement de données ou encore le volume de données traitées.
Plus précieuses que ces précisions finalement peu précises, l’EDPB fournie des exemples qui illustrent assez bien dans quels cas un traitement de données pourra être considéré comme étant réalisé “à grande échelle” conformément au RGPD :
Type d’entité concernée | Description du traitement mis en œuvre | Est-ce un traitement “à grande échelle” ? |
Hôpital | Données des patients de l’hôpital | Oui |
Médecin exerçant à titre individuel | Données des patients du médecin | Non |
Banque | Données de ses clients dans le cadre de son activité courante | Oui |
Fournisseur d’Accès Internet (FAI) | Données de trafic | Oui |
Le traitement de catégories particulières de données et de données relatives à des condamnations pénales et des infractions
Le cas n°3 est concerné par cette notion. Les catégories particulières de données sont couramment appelées les “données sensibles”. Ce sont l’ensemble des données listées au sein de l’article 9 du Règlement général sur la protection des données (RGPD) :
- Données révélant l’original raciale ou ethnique ;
- Données révélant les opinions politiques ;
- Données révélant les convictions religieuses ou philosophiques ;
- Données révélant l’appartenance syndicale ;
- Données génétiques ;
- Données biométriques ;
- Données de santé ;
- Données concernant la vie sexuelle ou l’orientation sexuelle.
Toute entité traitant l’un des types de données suscités ou des données relatives à des condamnations pénales ou des infractions à grande échelle dans le cadre de ses activités de base aura donc l’obligation de nommer un Data Protection Officer (DPO).
Nota Bene : bien que l’article 37 du RGPD dispose que sont assujetties à l’obligation de désigner un DPO les entités qui (cas n°3) traitent des catégories particulières de données “et” des données relatives à des infractions pénales et des infractions, l’EDPB affirme sans aucune ambiguïté au sein de ses lignes directrices (WP 243 rev.01) qu’il ne s’agit pas ici d’une condition cumulative et qu’il convient à cet effet de lire le terme “ou” en lieu et place du terme “et“. Il faut y voir une erreur de rédaction des législateurs européens. Les entités qui traitent des catégories particulières de données ou des données relatives à des condamnations ou des infractions à grande échelle, au titre de leurs activités de base seront dont dans l’obligation de nommer un DPO.
Le “suivi régulier et systématique” d’individus
Le cas n°4 est concerné par cette notion. Le considérant 24 du RGPD vient préciser que doivent être entendus comme des suivis du comportement des personnes toutes les formes de suivi et de profilage sur internet, incluant de ce fait toutes formes de suivi en ligne (par exemple à des fins publicitaires via l’utilisation de traceurs).
L’EDBP vient préciser au sein de ses lignes directrices (WP 243 rev.01) que le “suivi régulier et systématique” n’est pas limité à l’environnement en ligne. L’organe européen précise par ailleurs qu’il convient d’interpréter le terme “régulier” comme étant un traitement continu ou se reproduisant à intervalles réguliers, et/ou comme étant un traitement récurrent ou se répétant à des moments fixes, et/ou comme étant un traitement ayant lieu de manière constante ou périodique. Et le terme “systématique“, comme étant un mécanisme se produisant conformément à un système, et/ou préétabli, organisé ou méthodique, et/ou ayant lieu dans le cadre d’un programme général de collecte de données, et/ou effectué dans le cadre d’une stratégie.
Eu égard à ces différentes interprétations, voici quelques exemples d’activités qui constituent un suivi régulier et systématique d’individus :
- traitement domotique d’une maison connectée ;
- bracelet de suivi d’activité d’une personne ;
- traitement d’une voiture connectée intelligente ;
- compteur d’électricité connecté intelligent ;
- géolocalisation ;
- activités de marketing fondées sur du profilage et suivi des activités d’un individu (achats en ligne, navigation web, etc.).
Les sous-traitants sont-ils également concernés par la désignation d’un DPO ?
Les obligations liées à la nomination d’un Data Protection Officer s’appliquent aussi bien aux responsables de traitement qu’aux sous-traitants. Le RGPD ne réalise aucune différence entre ces deux types d’acteurs dans ce cas précis.
Le sous-traitants doivent donc être particulièrement vigilent. Le fait de traiter des données personnelles pour le compte d’un responsable de traitement (comme par exemple le fait de traiter en qualité de sous-traitant des données médicales pour le compte d’hôpitaux) n’exonère pas de l’obligation de désigner un Data Protection Officer.
Cas pratique : dans ces situations, pensez-vous que la nomination d’un DPO soit obligatoire ?
Comme vu précédemment, l’obligation de désigner un Délégué à la Protection des Données (DPD) concerne de très nombreuses entités. L’ensemble des autorités ou organismes publics, ainsi que toutes les entités privées qui, dans le cadre de leur activité de base traitent à grande échelle des catégories particulières de données ou réalisent un suivi systématique d’individus sont concernées.
L’autorité européenne de la protection des données (EDPB) procède à une interprétation parfois extensive des dispositions du RGPD, ce qui doit renforcer la vigilance des entités quant à leur décision de procéder ou non à la nomination d’un Data Protection Officer.
Type d’entité concernée | Description de son activité principale | L’entité doit-elle désigner obligatoirement un DPO ? |
Association | Une association loi 1901 agissant à l’échelle nationale agit afin de lutter contre une maladie relativement développée. Elle est l’unique association à agir contre cette maladie et aide notamment les malades et leurs proches (plusieurs dizaines de milliers) tout en favorisant la recherche scientifique. | Oui. L’entité traite au titre de son activité de base des catégories particulières de données à grande échelle. |
Association | Une association loi 1901 agissant à l’échelle d’un quartier d’une ville propose des activités sportives à ses adhérents (plusieurs centaines annuellement). | Non. |
Mairie | Une commune de 250 habitants met en œuvre des traitements de données classiques pour une collectivité territoriale (gestion de ses administrés, état civil, urbanisme, gestion du scolaire et des activités périscolaires, etc.) | Oui. L’entité est un organisme public. |
Société (personne morale de droit privé) | Une société de transport de colis agissant à l’échelle européenne met en œuvre un mécanisme de géolocalisation de l’ensemble de ses transporteurs afin d’améliorer leurs déplacements et garantir la sécurité des marchandises transportées. | Oui. Il peut être considéré que l’entité met en place au titre de ses activités de base, à grande échelle, un suivi régulier et systématique de ses livreurs. |
Vous disposez désormais de la certitude qu’il vous incombe de désigner un DPO ? Découvrez comment désigner un Data Protection Officer en France auprès de la CNIL.