Dans le Règlement général sur la protection des données, le délégué à la protection des données (DPD) revêt une importance capitale. Voici les principaux points à retenir sur ce poste et les missions qui y sont associées.

Le Règlement général sur la protection des données est appliqué à partir du 25 mai 2018. Nous avons traité le régèlement sous l’angle des mesures du RGPD concernant le grand public, comme la portabilité des données, la possibilité de faire des recours collectifs, l’inscription d’un enfant ou l’enjeu du profilage par algorithme. Mais ce texte contient aussi des dispositions concernant les professionnels.

Définition du consentement, nécessité de faire des études d’impact en cas de risque, obligation de faire du « privacy by design » par défaut, certifications de conformité au RGPD, mais aussi et surtout l’acte de naissance du délégué à la protection des données (DPD, ou DPO pour « data protection officer »). Son rôle est précisé par les articles 37 à 39 du RGPD.

Quel est son rôle ?

Le RGPD déclare que le délégué doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ». Il est l’interlocuteur privilégié des personnes souhaitant poser des questions relatives  au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le RGPD.

Sa tâche est «  d’ informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur [leurs] obligations », de «  contrôler le respect » du RGPD et de tous les autres textes liés à la protection des données (que ce le droit de l’Union, celui des États membres ou même le règlement intérieur de l’organisation), de coopérer avec la Cnil et de dispenser des conseils, sur demande.

ecriture-ordinateur-travail
CC Helloquence

Est-ce obligatoire ?

La désignation d’un délégué est obligatoire dans trois cas de figure :

  • si le traitement est réalisé par une entité publique ;
  • si la structure a une activité l’amenant « à réaliser un suivi régulier et systématique des personnes à grande échelle » ;
  • si la structure effectue un traitement impliquant des données sensibles ou liées à des condamnations pénales et infractions.

Si l’organisation ne coche aucun de ces critères, alors il est facultatif de désigner un délégué. Toutefois, les autorités de protection européennes encouragent toutes les structures à désigner un délégué. Cela « permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles ».

Traitement à grande échelle ?

Si le premier et le troisième critère n’appellent pas de remarque particulière, le deuxième pose en revanche la question de savoir à partir de quel seuil telle ou telle entité effectue un traitement « régulier et systématique ». Et surtout, qu’est-ce que c’est exactement un suivi des personnes « à grande échelle » ? Ici, il faut se tourner vers le Groupe de travail Article 29 sur la protection des données.

Le G29, dont fait partie la Cnil, a en effet publié des lignes directrices, résumées dans une foire aux questions, qui permettent d’éclairer ce que ces deux notions recouvrent : cela peut être le périmètre géographique du traitement, le nombre de personnes visées par le traitement, la durée ou la permanence du traitement ou encore le volume de données et la variété des données traitées.

esante-medecine-hopital
CC NEC Corporation of America

Des exemples de traitement à grande échelle sont donnés :

  • le traitement des données des patients au sein d’un hôpital ;
  • le traitement des données relatives aux déplacements des personnes utilisant le système de transport public d’une ville (via le suivi des cartes de voyage par exemple) ;
  • le traitement des données de géolocalisation en temps réel des clients d’une chaîne de fast food à des fins statistiques ;
  • le traitement des données des clients dans une compagnie d’assurance ou une banque ;
  • le traitement des données personnelles à des fins de publicité comportementale par un moteur de recherche ;
  • le traitement des données (contenu, trafic, localisation) par un fournisseur d’accès à Internet ou un opérateur téléphonique.

Le G29 donne également quelques contre-exemples :

  • le traitement des données des patients par un médecin ;
  • le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat.

Traitement régulier et systématique ?

Là encore, c’est en direction des des lignes directrices et de la foire aux questions qu’il faut se tourner. Selon le G29, la notion de traitement régulier recouvre un ou plusieurs des éléments suivants :

  • Une permanence ou un déclenchement à des intervalles particuliers pour une période donnée ;
  • Une récurrence ou une répétition à des heures fixes ;
  • Un déroulement constant ou périodique.

Quant à la notion de systématique, le G29 mentionne les éléments suivants :

  • Survenant en fonction d’un système ;
  • Pré-arrangée, organisée ou méthodique ;
  • S’inscrivant dans le cadre d’un plan général de collecte de données ;
  • Réalisé dans le cadre d’une stratégie.
montre-fitbit
CC Andri Koolme

Le G29 donne quelques exemples :

  • Exploitation d’un réseau de télécommunications ;
  • Prestation de services de télécommunications ;
  • reciblage des courriels ;
  • profilage et notation aux fins de l’évaluation des risques (à des fins d’évaluation du crédit, d’établissement des primes d’assurance, de prévention de la fraude, de détection du blanchiment d’argent, par exemple) ;
  • Suivi de localisation, par exemple au moyen d’une application mobile ;
  • Programmes de fidélité ;
  • Publicité comportementale ;
  • Surveillance du bien-être, de la condition physique et des données de santé au moyen d’appareils portatifs ;
  • Télévision en circuit fermé ;
  • Appareils connectés, comme des compteurs intelligents, des voitures intelligentes, de la domotique, etc.

Qui peut être délégué ?

La désignation du délégué est laissée à la libre appréciation de chaque organisme, que ce soit une entreprise, une administration ou une association. Il peut s’agir d’un membre du personnel, mais ce n’est pas obligatoire. Un tiers n’appartenant pas à la structure peut très bien remplir ce rôle contractuellement, qu’il s’agisse d’une personne physique ou d’une entreprise proposant des services de DPO externalisé.

femme-informatique-ordinateur-pc-travail
CC Eric Bailey

Quels sont les critères ?

Il y a toutefois quelques exigences à respecter : la personne ou l’entreprise retenue doit avoir les compétences requises pour ce travail (expertise juridique et technique, bonne connaissance de la structure qui la sollicite). Elle doit aussi avoir les moyens de travailler (accès aux informations, moyens matériels et humains, être joignable, participer en amont aux projets impliquant des données personnelles).

Enfin, il lui faut pouvoir évoluer en toute indépendance : cela veut dire qu’il ne faut pas se retrouver en situation de conflit d’intérêts entre cette fonction et une autre mission, ne pas recevoir d’instruction dans le cadre de son travail de délégué, ne pas subir de sanction pour l’exercice de cette tâche et pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme.

Ces critères sont résumés sur le site de la Cnil.

Comment le désigner ?

Depuis le 28 mars, la Commission nationale de l’informatique et des libertés propose un téléservice sur son site web pour désigner un délégué à la protection des données. Le formulaire à remplir se trouve à cette adresse. Il vous faudra remplir trois sections (organisme concerné, choix du délégué et coordonnées publiques). Ensuite, les informations renseignées seront récapitulées et transmises à la Cnil.

Partager sur les réseaux sociaux