Sept points essentiels à comprendre :
1 - Cas d'obligation de désignation d'un DPO
La désignation d’un DPO est obligatoire dans les trois cas suivants :- Pour les administrations et organismes publics (hors juridictions).
- Pour les organismes effectuant un suivi régulier et systématique à grande échelle de personnes dans le cadre de leurs activités principales.
- Pour les organismes traitant à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
2 - Qui peut être DPO en pratique
Si aucune restriction n’est énoncée explicitement par la lettre du RGPD (Règlement Général sur la Protection des Données), il existe en revanche un certain nombre de critères qui peuvent conduire à l’exclusion de certains profils du fait d’incompatibilités fonctionnelles avec d’autres rôles au sein d’une même entité. C’est généralement le cas de toutes les fonctions de direction (voir titre 6 et 7).3 - Compétences nécessaires au conseil d’un DPO
Un DPO doit disposer des compétences nécessaires à l’exercice de ses missions prévues à l’article 39. En pratique, il doit donc être en mesure de :- Conseiller le responsable de traitement (ainsi que ses personnels et ses sous-traitants) sur les obligations légales et réglementaires qui lui incombent, pour la réalisation des analyses d’impact sur la protection des données ;
- Contrôler la bonne application de ces obligations et de manière plus globale des autres normes et règles internes relatives à la protection des données ;
- S’établir en point de contact pour l’autorité de contrôle (la CNIL en France) et coopérer avec elle en cas de procédure.
Selon une étude, les profils des DPO se diversifient : 47 % des DPO proviennent d’autres domaines que le juridique ou l’informatique (administration, finances, qualité, audit). Toutefois, si une majorité de DPO restent issus de ces domaines c’est en raison de la double nature des compétences attendues pour ce rôle.
Les formations spécifiques jouent également un rôle essentiel pour acquérir les compétences requises. Elles permettent d’étudier les obligations du RGPD et de la loi Informatique et Libertés tout en offrant des exercices pratiques. Ces formations doivent aussi être régulièrement mises à jour pour se tenir informé de l’évolution du contexte normatif, de l’évolution de la jurisprudence, etc.
4 - Garantir l’efficacité et l’indépendance du DPO
Le responsable de traitement qui emploi le DPO doit veiller à la mise à disposition de toutes les ressources nécessaires à l’exercice des missions évoquées précédemment : en particulier, celui-ci doit pouvoir accéder sur demande aux systèmes de traitements de données réalisés pour en constater la tenue.Du reste, si le DPO partage ce rôle avec une d’autres fonctions au sein de l’entité qui l’emploi, celle-ci doit veiller à lui allouer le temps suffisant pour les exercices de ses missions de DPO.
Le DPO doit également bénéficier d’une indépendance pour les besoins de ses fonctions, et son employeur doit veiller à ne lui adresser aucune instruction à ce titre.
Enfin, le DPO doit rendre compte directement à la direction (via un rapport annuel) et bénéficie d’une protection contre les sanctions liées à l’exercice de ses fonctions. Mais il reste tenu responsable en cas de défaut de conseil ou d’infraction qualifiée.
5 - Accessibilité et secret professionnel
Le DPO doit être accessible à toute personne ayant des questions relatives aux traitements de leurs Données à Caractère Personnel (DCP et leurs droits afférents), qu’il s’agisse de personnel de l’entité ou de tierces personnes concernées par des traitements de leurs données personnelles. À ce titre, le DPO exerce ces fonctions en observant un secret professionnel strict.Le DPO doit ainsi être correctement intégré dans l’entreprise, dans les process et les projets, et avoir accès à toutes les ressources (humaines et matérielles) nécessaires à l’exercice de ses fonctions de manière qu’elles ne souffrent pas d’entrave organisationnelle.
6 - Prévention des conflits d’intérêt dans la nomination du DPO
Un critère crucial pour la nomination d’un DPO est la prévention des conflits d’intérêts. Le DPO ne doit pas occuper de poste impliquant la détermination des finalités ou des moyens des traitements de données personnelles.Par conséquent, les postes de direction classique (secrétaire général, directeur général, directeur financier, responsable marketing, responsable RH ou informatique) sont généralement à exclure. Une évaluation au cas par cas peut toutefois être effectuée pour d’autres fonctions.
7 - DPO et RSSI : éviter les conflits d’intérêts
La CNIL a clarifié cette question en 2022 : un responsable de la sécurité des systèmes d’information (RSSI) peut être désigné DPO à condition qu’il ne dispose pas d’un pouvoir décisionnel sur les finalités et moyens des traitements de données personnelles.Pour conclure, le DPO occupe une position stratégique dans la protection des données personnelles. Son indépendance, ses compétences variées et sa capacité à collaborer avec différents acteurs en font un pilier de la conformité pour toute entité. Une intégration optimale et un soutien organisationnel sont indispensables pour garantir l’efficacité de cette fonction essentielle dans le contexte de la multiplication des réglementations et des évolutions de leurs mises en pratique.
Par Luc BOUILLAGUET, Consultant Protection des données et droit numérique, chez TVH Consulting
