Le DPO, une version évoluée du CIL

Le DPO, une version évoluée du CIL

Le nouveau règlement européen de protection des données personnelles (« RGPD ») est paru au journal officiel de l’Union européenne le 4 mai 2016 et entrera en application en 2018. Il prévoit la fonction de Délégué à la protection des données / Data Protection Officer (l’acronyme DPO sera retenu dans la suite de cet article) aux articles 37 à 39 et la rend obligatoire dans un certain nombre de cas. On rappelle que la directive européenne 95/46/CE de protection des données personnelles de 1995  prévoyait un rôle de « Détaché à la protection des données / Data protection official» de manière minimaliste et incidente, notamment pour les notifications à l’autorité de contrôle (considérants 49, 54 et articles 18 et 20). Afin de répondre adéquatement aux exigences de la directive, plusieurs états européens avaient déjà ressenti le besoin de définir cette fonction en entreprise ou dans les organisations publiques. En France, fut ainsi décidée la création du Correspondant Informatique & Libertés (« CIL ») en 2004 lors de la révision de la loi Informatique et Libertés du 6 janvier 1978 pour mise en conformité avec la directive 95/46/CE.

Un DPO, oui, mais dans quels cas et pour quel rôle ?

La nouvelle fonction de DPO est désormais rendue obligatoire (article 37 du RGPD) pour tous les organismes publics et dans le cas de traitements à grande échelle de données sensibles ou de données de suivi des personnes de manière régulière et systématique.

Article 37§1 : « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

  1. le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

Outre l’obligation de désigner un DPO dans un certain nombre de cas, les fonctions qui lui sont confiées sont d’une envergure bien supérieure à celles de l’ancien CIL puisqu’il doit rendre conforme l’ensemble de son entreprise ou organisation avec les exigences du RGPD.

Article 39 : « Les missions du délégué à la protection des données sont au moins les suivantes :

  1. informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
  2. contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  3. dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
  4. coopérer avec l’autorité de contrôle ;
  5. faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet. »

Le règlement édicte une exigence de mise en conformité et de suivi complet et permanent de celle-ci, les preuves de la conformité devant pouvoir être apportée par l’entreprise auditée dans tous les domaines couverts par le règlement. La responsabilité du DPO, véritable chef d’orchestre de cette mise en conformité, en est d’autant renforcée. Le DPO apparaît donc comme une version évoluée du CIL, bien plus aguerri pour se défendre dans l’arène de la Protection des données personnelles du 21ème siècle.

Quid du CIL actuel ?

Depuis l’adoption du nouveau règlement, des questions surgissent çà et là sur les modalités pratiques de transformation du rôle de CIL en celui de DPO :

  • Le CIL se transformera-t-il automatiquement en DPO en mai 2018 ?
  • Le CIL et le DPO peuvent-ils coexister, le premier étant réservé aux entités non soumises à l’obligation de DPO ?
  • Comment trouver ce « mouton à cinq pattes » que semble être le DPO ?

Rappelons en préalable qu’il faut distinguer entre l’obligation d’avoir un DPO et la soumission au RGPD. Ainsi, toute entreprise ou organisation publique ayant à traiter de données personnelles, est soumise aux exigences du RGPD, ce qui revient à englober toutes les entités puisqu’il y a toujours au moins une gestion des données personnelles des employés. Mais, seules celles citées à l’article 37 seront obligées de nommer un DPO (d’autres textes ultérieurs viendront peut-être allonger cette liste). Ceci ne signifie aucunement que les entités qui ne semblent pas concernées par l’obligation de DPO ne devront pas respecter la nouvelle réglementation. Or pour cela, elles ont intérêt à nommer une personne responsable, et ce d’autant plus que la formulation volontairement large des entités soumises au DPO obligatoire laisse présager de nombreuses interrogations sur le périmètre exact des entités concernées.

Donc s’il paraît raisonnable de désigner une personne en charge de cette activité dans le cadre du nouveau règlement européen, comment concilier cette désignation avec le rôle actuel du CIL ? Il semble que la solution la plus adéquate, dans le cas d’une entreprise déjà sensibilisée au domaine de la protection des données personnelles, serait de faire évoluer la fonction de CIL vers la fonction élargie de DPO. Cependant, la personne anciennement désignée pour la fonction de CIL n’aura peut-être pas le meilleur profil pour prendre en charge la nouvelle fonction de DPO et n’est peut-être pas, elle-même, intéressée par ce nouveau défi. De la même manière que la nomination actuelle d’un CIL relève de la responsabilité du responsable de traitement, il serait logique qu’il décide de lui proposer ou non d’évoluer vers la nouvelle fonction de DPO. La CNIL pourrait ainsi transmettre à l’ensemble des responsables de traitement qu’elle a répertorié, une notice explicative sur l’envergure de la fonction de DPO, charge à eux de décider si le CIL actuel a la capacité de les prendre en charge. En aucun cas il ne peut s’agir d’un automatisme, le périmètre de la fonction évoluant sensiblement : les deux parties, responsable de traitement et ancien CIL, doivent pouvoir s’engager de manière éclairée sur la nouvelle fonction de DPO.

Par ailleurs, il paraîtrait déraisonnable de vouloir faire coexister les deux régimes (DPO pour les entreprises soumises à l’obligation dans le RGPD et CIL pour les autres), et ce d’autant plus que le périmètre des entités soumises à DPO obligatoire paraît sujet à questionnement. On imagine la complexité du dispositif où se côtoieraient, selon les entreprises ou organismes publics, les deux dénominations et l’inévitable sensation de « sous-DPO » pour les CIL. Enfin, ce serait difficilement compréhensible pour nos interlocuteurs étrangers, confrères DPO européens ou autorités de contrôle.

Un responsable de traitement pourra donc se pencher sur le recrutement d’un DPO en suivant l’arbre de décision suivant :

flow-chart-17

Les inquiétudes sur le recrutement des DPO

La solution de coexistence CIL / DPO a pu être évoquée en raison des inquiétudes sur la capacité à recruter des professionnels pour la fonction de DPO. Le règlement énonce le profil nécessaire pour la fonction de DPO à l’article 37 §5 « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ». Ce faisant, le règlement va plus loin que les exigences de la loi Informatique & Libertés puisqu’il mentionne le type de connaissances que doit avoir le DPO, notamment en matière juridique. La législation actuelle est plus évasive sur le sujet :

  • L’article 22 de la loi Informatique & Libertés prévoit que le correspondant est une personne « bénéficiant des qualifications requises  pour exercer ses missions. »
  • L’article 43 du décret du 20 octobre 2005 précise que le document de désignation doit obligatoirement mentionner « tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction.»

Pourtant, la formulation du RGPD est encore très large puisqu’elle n’impose aucun niveau de diplôme ou de type de certification à détenir. L’expérience professionnelle, notamment en tant qu’ex-CIL peut parfaitement permettre de répondre à la mention de « connaissances spécialisées du droit » ou de « connaissances des pratiques en matière de protection des données ». Bien loin du mouton à cinq pattes que certains ont cru y voir, il paraît réaliste de considérer que plusieurs catégories de professionnels pourront postuler comme DPO :

  • Les CIL actuels, s’ils le souhaitent et s’ils sont reconnus dans leur travail feront de très bon candidats à la fonction de DPO. Les responsables de traitement auront sans doute tout intérêt à les faire évoluer sur le poste de DPO, en prévoyant des formations de renforcement soit sur la partie juridique, soit sur la partie technique selon le profil de l’individu. Cependant, aucun automatisme ou autre clause de « grand-père » ne devrait s’appliquer pour le passage de CIL à DPO.
  • Certains professionnels techniques peuvent évoluer vers cette fonction soit parce qu’ils sont familiers des dossiers de déclaration ou d’autorisation auprès de la CNIL, soit parce que leur travail ressemble déjà par bien des aspects à celui du futur DPO. On pense ainsi aux spécialistes du contrôle interne que sont les auditeurs informatiques. Ceux-ci sont familiers de la gestion des risques et des analyses d’impact, des problématiques de sécurité physique, logique, du contrôle des accès et des modifications de données… En effet, le rôle de DPO est similaire à celui d’un auditeur qui est sensibilisé à la maîtrise des données informatiques au sens large. Il devra se concentrer sur les données dites personnelles et agir comme vecteur de préconisations, sensibilisation, formation, activités dont chaque auditeur informatique est familier. Or la confrérie des auditeurs informatiques est bien développée et encadrée depuis longtemps par l’ISACA qui délivre des certifications mondialement connues comme le CISA («Certified Information System Auditor»). Une partie de ces auditeurs pourrait sans doute assez facilement endosser le rôle de DPO en complétant leur expertise avec une formation « juridique » et l’appui des juristes spécialisés en droit informatique de l’entreprise. On rappelle que des formations juridiques de qualité sont disponibles via des organismes comme le CNAM ou le Centre audiovisuel d’études juridiques («CAVEJ»).
  • Les organismes actuels proposant des certifications facultatives pour être CIL feront vraisemblablement évoluer leurs offres pour former les DPO. Les universités proposent de plus en plus des Masters ou Diplômes Universitaires sur la protection des données personnelles, comme Paris II qui vient d’ouvrir le D.U. Data Protection Officer à la rentrée 2016. Le CNAM propose un certificat CIL qui devrait logiquement évoluer pour s’adapter au RGPD.
  • Les juristes spécialisés en droit des technologies de l’information pourraient eux-aussi être attirés par la fonction, sachant que les avocats se sont déjà intéressés à la fonction de CIL et que le RGPD prévoit la possibilité d’externaliser la fonction de DPO sans aucune limite.

Le DPO devra avoir avant tout un rôle de coordonnateur

Il faut aussi rappeler que le RGPD n’impose pas que ce soit le DPO qui réalise chacune des tâches de mise en conformité. Il devra, avant tout, s’assurer de la mise en conformité dans l’entreprise et coordonner l’ensemble des actions permettant d’atteindre les objectifs de gestion encadrée des données personnelles. Il s’agit d’un rôle transversal pour dialoguer efficacement avec les différents experts de l’entreprise. Ainsi, pour la notification des violations de données personnelles, le DPO devra travailler avec le Responsable Sécurité des Systèmes d’information de l’entité (RSSI) familier de la notion de déclaration de failles de sécurité qui lui fournira les éléments techniques de la notification. Par bien des aspects, le rôle du DPO est similaire à celui d’un chef de projet qui doit coordonner les travaux de différents acteurs pour un objectif de mise en conformité au RGPD : les juristes, le RSSI, la direction des systèmes d’information (« privacy by design » : tous les développements informatiques devront dorénavant intégrer les exigences du RGPD dès la phase de conception), la Maîtrise d’ouvrage (réalisation des études d’impact), la direction de l’audit interne, les spécialistes de l’archivage dans les administrations, la direction des achats, la direction des ressources humaines…Et, c’est justement le défi qui attend les futurs DPO : au-delà du travail parfois (souvent) solitaire du CIL actuel, ils ne pourront prendre en charge l’ensemble des actions exigées par le nouveau règlement, qu’en créant une dynamique de groupe de travail et en jouant le rôle de chef d’équipe. Ils devront aussi obtenir un budget financier et humain du responsable de traitement.

Alors, DPO or not DPO ?

Dans ces conditions, le débat sur l’obligation ou non de se doter d’un DPO peut paraître fallacieux. Certes, l’article 37 §4 précise déjà, qu’en dehors des cas de désignation obligatoire d’un DPO, les entreprises ou organismes publiques ont toute liberté pour décider de désigner un DPO. Par ailleurs, d’autres cas de nominations obligatoires pourraient être prévus par d’autres textes au niveau de l’Union européenne ou des Etats. Mais quel que soit le caractère obligatoire ou facultatif de la désignation, comment espérer atteindre le niveau de conformité requis par le RGPD si l’on ne prend pas la peine de nommer un professionnel en charge du domaine ? C’est ainsi que la dérogation citée au considérant 13 du RGPD et destinée à rassurer les petites et moyennes entreprises semble être un leurre : « Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. » Comment, en effet, espérer atteindre la conformité au RGPD auquel ces entreprises restent soumises, si l’on n’a même pas de base de recensement des applicatifs et technologies utilisés ? D’ailleurs, comment savoir si l’on ne tombe pas sous le joug de l’exigence d’un DPO obligatoire sans avoir cette réflexion préliminaire ?

Un DPO, certes, mais situé où ?

Et si le vrai problème n’était pas la préoccupation sur l’avenir du CIL mais plutôt la localisation du futur DPO ? En effet, l’article 37 §2 du RGPD précise que : «Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement. » Autrement dit, là où un groupe avait peut-être désigné un CIL pour répondre aux exigences de la loi française, il pourra parfaitement le démettre de ses fonctions et nommer un seul et unique DPO pour l’ensemble de ses établissements en Europe. Avec les moyens technologiques actuels, il sera facilement joignable sans que la distance puisse être utilisée comme prétexte pour empêcher sa délocalisation. Et il sera donc assez tentant de choisir son DPO dans l’établissement situé dans le pays le moins-disant en matière de protection des données personnelles. En effet, le RGPD offre une base de conformité que chaque pays européen pourra renforcer en édictant des règles plus contraignantes dans un certain nombre de cas. Sachant que l’autorité de contrôle chef de file (le nouveau nom des CNIL européennes) sera désignée dans le pays où se trouve le lieu d’établissement principal d’un groupe européen procédant à des traitements transfrontaliers, on voit se dessiner un circuit assez complexe de résolution des demandes liées aux droits des personnes. Ainsi, par exemple, après qu’un citoyen d’un pays A ait en vain exercé son droit d’accès auprès du DPO, situé dans le pays B, du groupe européen dont l’établissement principal est situé dans le pays C, il faudra que le citoyen fasse une réclamation auprès de l’autorité de contrôle du pays A qui transférera celle-ci à l’autorité de contrôle du pays où se situe le responsable de traitement, soit le pays C (article 56 §2 du RGPD). Cette autorité de contrôle du pays C décidera de traiter le cas ou de le laisser à l’initiative de l’autorité de contrôle du pays A qui devra alors dialoguer avec le responsable du traitement situé dans le pays C et le DPO situé dans le pays B. La notion de proximité et de contexte franco-français du couple CIL/CNIL nous semblera alors bien lointaine et les postulants au titre de DPO seraient bien avisés de rajouter des atouts linguistiques à leur palette de compétences…

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *