Remove ads
pilote de la conformité aux données personnelles dans une organisation De Wikipédia, l'encyclopédie libre
En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données personnelles au sein d'une organisation.
La fonction de DPO a été instaurée par les articles 37 et suivants du Règlement général sur la protection des données (RGPD) entré en application le 25 mai 2018, et étant applicable au sein des pays membres de l'Union européenne. La loi française Informatique et Libertés prévoit également des dispositions relatives au DPO.
La désignation d'un Délégué à la Protection des données est obligatoire pour certaines entités privées[1], ainsi que pour l'ensemble des autorités publiques ou organismes publics (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle)[2]. La fonction de DPO peut-être exercée par un salarié interne de l'entité ou par un DPO externalisé agissant sur la base d'un contrat de service.
Les principales missions du Délégué à la protection des données sont prévues par les dispositions de l'article 39 du RGPD[3]. Elles consistent à (i) informer et conseiller son organisation sur les obligations lui incombant en vertu des réglementations sur la protection des données personnelles, à (ii) contrôler le bon respect par son organisation des réglementations sur la protection des données personnelles, à (iii) dispenser des conseils en ce qui concerne la réalisation d'analyse d'impact relative à la protection des données[4], à (iv) coopérer avec l'autorité de contrôle, comme la CNIL en France, ainsi qu'à (v) faire office de point de contact entre son organisation et l'autorité de contrôle sur des questions relatives aux traitements de données personnelles mis en œuvre par son organisation.
L'indépendance du Délégué à la Protection des Données est essentielle pour qu'il puisse remplir ses missions correctement. Le RGPD établit des règles pour garantir cette indépendance[5].
Liberté de décision : Le DPO ne doit recevoir aucune instruction sur la manière de mener ses missions. Cela signifie qu'il doit pouvoir décider par lui-même comment gérer un dossier, répondre à une plainte, réaliser un audit interne, ou s'il faut consulter l'autorité de contrôle. Il ne doit pas être influencé pour adopter un certain point de vue sur la législation en matière de protection des données.
Protection contre les sanctions : Le DPO ne doit pas être sanctionné ou licencié pour avoir accompli ses tâches. Par exemple, si le DPO conseille de faire une analyse d'impact et que le responsable n'est pas d'accord, ou si son analyse diffère de celle du responsable, il ne doit pas en subir les conséquences. Cependant, il peut être licencié pour des raisons qui relèvent des règles normales du droit du travail, comme le vol ou le harcèlement.
Rapport direct à la haute direction : Le DPO doit communiquer directement avec les plus hauts niveaux de direction de l'organisation. Cela permet que les décisions soient prises en connaissance des avis et recommandations du DPO. Il est recommandé que le DPO présente un rapport régulier (par exemple, annuel) sur ses activités à la direction. Cette exigence de rapporter à la haute direction ne détermine pas forcément à qui le DPO est rattaché dans l'organisation. Le rapport annuel rédigé par le Délégué à la Protection des Données joue un rôle crucial en tant que moyen de communication. C'est une occasion pour le DPO de diffuser son savoir et son expérience, d'accroître la sensibilisation sur l'importance de la protection des données, et de contribuer à l'instauration d'une culture solide de protection des données dans l'organisation. Ce rapport n'est pas seulement un résumé des actions et des conformités, mais aussi un outil pédagogique pour mettre en avant les enjeux et les meilleures pratiques en matière de protection des données personnelles[6].
La désignation d'un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.
Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Datenschutzbeauftragter en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater / conseiller à la protection des données / consulente per la protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[7].
Les Délégués à la protection des données sont désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL). Leurs coordonnées sont rendues publiques sur la plateforme data.gouv.fr[8].
Le rapport annuel de la CNIL pour l'année 2015[9] indique que 4 321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16 406 responsables de traitement, privés ou publics. Dans son rapport annuel pour 2018 « La CNIL en bref »[10] la CNIL indique que 39 500 organismes ont désigné un Délégué, ce qui représente 16 000 Délégués à la protection des données. Ce nombre devrait dépasser les 21 000 à la fin de l'année 2019.
Dans le cadre du basculement sur les nouvelles règles l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, avait demandé que soit ménagée une « clause de grand-père » qui aurait permis aux « Correspondants Informatique et Libertés » (CIL) qui le souhaitaient et qui répondaient aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour exploiter les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».
Avant l'adoption du Règlement Général sur la Protection des Données (RGPD), la désignation d'un Correspondant Informatique et Libertés (CIL)[11] dans les entreprises n'était pas une exigence légale. Cependant, avec l'introduction du RGPD, les entreprises sont encouragées à désigner un Délégué à la Protection des Données (DPO) de manière flexible, y compris de façon non écrite. Le responsable de traitement est tenu de nommer le DPO en accord avec les dispositions du RGPD et doit, en outre, informer rapidement l'autorité de contrôle compétente et rendre publiques les coordonnées du DPO.
Une option notable pour les entreprises, surtout celles opérant à l'échelle de l'Union Européenne, est la possibilité de désigner un DPO unique pour l'ensemble du groupe. Cette approche permet aux entreprises ayant plusieurs filiales ou succursales de bénéficier d'un point de contact centralisé pour toutes les questions de protection des données. Le DPO d'entreprise doit être accessible facilement depuis n'importe quel site de l'entreprise. Cette centralisation offre plusieurs avantages : elle assure une gestion uniforme et cohérente de la protection des données à travers toutes les entités du groupe, facilitant ainsi une meilleure coordination et une efficacité accrue dans le respect du RGPD. De plus, elle simplifie la communication avec l'autorité de contrôle en établissant un point de contact unique pour l'ensemble du groupe, favorisant ainsi une plus grande transparence et sécurité dans le traitement et la gestion des données.
Il est également important de noter qu'une affectation externe du DPO n'est pas toujours nécessaire si l'entreprise dispose d'un employé interne ayant les qualifications requises pour assumer ce rôle. Le choix entre un DPO interne ou externe dépend largement de la taille et de la structure de l'entreprise, ainsi que de la charge de travail envisagée pour le DPO. Chaque entreprise doit évaluer ses besoins spécifiques en matière de protection des données pour déterminer la solution la plus appropriée, en veillant à ce que le DPO choisi dispose des ressources et de l'indépendance nécessaires pour exercer efficacement ses fonctions..
La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :
C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.
La fonction de Délégué à la protection des données est définie dans le Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97[12] et par sa section 4[13]. La désignation d'un Délégué à la protection des données est obligatoire pour tout organisme répondant à l'un des critères suivants :
Dans les autres cas, les organismes peuvent désigner volontairement un délégué à la protection des données. Un délégué à la protection des données peut être mutualisé entre plusieurs organismes. Le Délégué à la protection des données peut être un membre du personnel, ou exercer ses missions sur la base d'un contrat de service.
Les principales missions du Délégué à la protection des données sont les suivantes (Art. 39[14]) :
Les actuels Délégués à la protection des données sont de profils très hétérogènes.
Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[16]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines.
Cette diversité perdure au sein des DPO, puisque l'enquête menée en 2019 par la Délégation générale à l'Emploi et à la Formation professionnelle (DGEFIP) montre une répartition équilibrée entre les profils juridiques (31,1%), informatiques (34,9%) et autres (34%)[17]. Cette diversité se retrouve dans différents secteurs, avec une progression du profil juridique comme le confirment les enquêtes réalisées entre 2011 et 2019[18] par le réseau SupDPO : en 2019, il était composé de 38% de DPO à profil juridique, et 41% de DPO à profil informatique.
Cette étude a été renouvelée en 2022, présentant une mise à jour des données et mettant en évidence une augmentation de la part de DPO employés par des petites structures (moins de 50 salariés, ou moins de 10 000 personnes à gérer)[19].
Bien que ce ne soit pas obligatoire, il existe des certifications pour devenir DPO. La CNIL a adopté le 20 septembre 2018 deux référentiels[20] en matière de certification des compétences du délégué à la protection des données :
Des formations de l'enseignement supérieur sont également consacrées au métier[21], tels que des mastères spécialisés et diplômes universitaires[22].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 $ et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 $ et 200 000 $ pour 13 % et entre 100 000 $ et 150 000 $ pour 37 %[23].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100 000 $ et 200 000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75 000 $ et 150 000 $ par an dans le secteur public[24].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150 000 $ et 200 000 $ par an pour 9 % d’entre eux, entre 100 000 $ et 150 000 $ pour 26 % et entre 50 000 $ et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stock options et 60 % des bonus[25].
Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47 000 € brut par an.
Le Délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le Délégué à la protection des données poursuive les tâches du CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.
Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :
D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le Délégué à la protection des données :
En 2024, la Directive sur la sécurité des réseaux et de l'information 2 (NIS 2)[26] pourrait transformer significativement le rôle et les responsabilités du Délégué à la Protection des Données (DPO), ainsi que son interaction avec les questions de sécurité. Cette directive élargit de manière substantielle le champ d'application par rapport à la directive NIS 1, en termes de secteurs et de tailles d'organisations concernées[27].
Sous la directive NIS 1, six secteurs d'activité étaient régulés. En revanche, avec NIS 2, le nombre de secteurs concernés passe à vingt-trois. Cette expansion signifie qu'un plus grand nombre d'organisations seront tenues de se conformer aux exigences de sécurité, ce qui entraîne une augmentation du nombre de DPO devant gérer ces nouvelles contraintes légales de sécurité.
De plus, la directive NIS 2 étend son champ d'application au-delà des grandes entreprises et des administrations centrales pour inclure également les petites et moyennes entreprises (PME), les entreprises de taille intermédiaire (ETI) et toutes les collectivités territoriales. Cette évolution marque un changement significatif, car elle impose des responsabilités de sécurité informatique et de protection des données à un éventail beaucoup plus large d'entités, transformant ainsi la fonction de DPO et intensifiant son implication dans les questions de sécurité informatique à tous les niveaux des organisations.
Jusqu’à présent, une amende maximale de 50 000 euros a été infligée pour défaut intentionnel ou négligent de désigner un délégué à la protection des données. À partir du 25 mai 2018, l’amende augmentera à 2 % du chiffre d’affaires annuel global jusqu’à 10 millions d’euros. L’autorité de surveillance se réserve le droit d’imposer une amende plus élevée. Les délégués à la protection des données doivent démontrer des qualifications différentes et être prêts à s'adapter aux changements dans les technologies de l'information. La formation continue et l'expertise juridique sont essentielles. Les personnes qui ne font pas partie du conseil de surveillance ou de la direction de la société sont des délégués à la protection des données. Même si la combinaison est autorisée, cette constellation peut entraîner des biais et entraver le respect du règlement de base sur la protection des données.
Les agences d’évaluation du crédit et les sociétés de traitement des données doivent, avec l’entrée en vigueur des OVDS de l’UE, être soumises au contrôle d’un Délégué à la protection des données, garantissant ainsi l’intégrité et la compétence de leur gestion des données. Le non-respect de cette obligation entraînera des amendes importantes pour l’entreprise concernée.
Le RGPD apporte de nouvelles exigences relatives au licenciement et à la cessation d’emploi d’un Délégué à la protection des données pour les autorités publiques et organismes privés. Les DPO font l'objet d'une protection spéciale contre le licenciement, le devoir de confidentialité et le droit de refuser de témoigner.
En ce qui concerne la responsabilité du DPO, il est essentiel de comprendre que le RGPD établit clairement que c'est le responsable du traitement des données, et non le DPO, qui est tenu de s'assurer et de démontrer que le traitement est conforme au règlement. De même, le sous-traitant est responsable de respecter ses obligations spécifiques énoncées par le RGPD. Par conséquent, la responsabilité ne peut être attribuée au DPO, étant donné que cela impliquerait qu'il ait un contrôle décisionnel sur les objectifs et les moyens de traitement des données, ce qui constituerait un conflit d'intérêts contraire aux principes du RGPD.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.