A l’issue d’un contrôle de la fonction de DPO, l’Autorité luxembourgeoise de protection des données inflige une amende de 13 200 euros à une société d’assurance.
Dans le cadre de sa campagne d’enquête thématique sur la fonction de DPO (délégué à la protection des données), la Commission luxembourgeoise pour la protection des données (« CNPD ») a ouvert, en septembre 2018, une enquête au sein d’une société d’assurance.
Sur les quatre manquements concernant l’exercice de la fonction de DPO, la Commission en a retenu deux.
La décision de la CNPD du 13 octobre 2021 précise les contours du périmètre attendu de la fonction de DPO. La CNPD s’est fondé sur les articles 37 et suivants du Règlement Général sur la Protection des Données (« RGPD ») mais s’est aussi largement référée aux lignes directrices du G29 concernant les délégués à la protection des données réapprouvées par le Comité Européen de la protection des données (« CEPD ») le 25 mai 2018.
La CNPD ajoute que « les exigences du RGPD ne sont pas toujours strictement définies et rappelle en conséquence qu’il revient « aux autorités de contrôle de vérifier la proportionnalité des mesures mises en place par les responsables de traitement au regard de la sensibilité des données traitées et des risques encourus par les personnes concernées ».
Les organismes et les DPO rencontrent de grandes difficultés pour définir le périmètre de la fonction de DPO. Cette décision fournit de précieuses informations sur l’interprétation des exigences du RGPD au regard des compétences et rôles d’un DPO.
Les enseignements des manquements confirmés
L’absence de participation formalisée et systématique du DPO aux réunions pertinentes : un manquement à l’article 38.1 du RGPD
Dans le cas d’espèce, aucune règle ou fréquence n’avait été définie quant à :
- la participation du DPO aux comités de direction, ou à
- sa présence dans les comités de lancement d’un nouveau produit.
Eu égard à l’activité du contrôlé, le DPO aurait dû être associé, de manière formalisée et sur la base d’une fréquence définie, « au Comité de Direction, aux comités de coordination de projet, aux comités de nouveaux produits, aux comités sécurité ou tout autre comité jugé utile dans le cadre de la protection des données ».
La CNPD précise que la participation formalisée et systématique du DPO aux réunions pertinentes « constitue une mesure proportionnée afin d’assurer l’association du DPO à toutes les questions relatives à la protection des données personnelles ».
L’absence d’un plan de contrôle formalisé en matière de protection des données : un manquement à l’article 39.1. b) du RGPD
La CNPD considère qu’un organisme doit disposer d’un plan de contrôle formalisé et ce, même non encore exécuté. Cet outil permet au DPO d’effectuer ses missions de contrôle de manière adéquate et d’en rapporter la preuve.
L’autorité relève néanmoins que la seule tenue d’un registre des traitements pris isolément ne suffit pas à démontrer la bonne exécution de la mission de contrôle.
Les enseignements des manquements écartés
Une expérience professionnelle de trois ans en matière de protection des données jugée proportionnée (Art. 37.5 du RGPD).
En l’espèce, le contrôleur s’attendait à ce que le DPO ait au minimum trois ans d’expérience professionnelle en matière de protection des données. Lors du contrôle, faute d’information suffisante sur son parcours, les agents avaient conclu que celui-ci ne présentait pas un niveau d’expertise « proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme ». Cependant, les informations fournies ultérieurement ont permis de justifier d’une « expertise suffisante et adaptée aux besoins du responsable de traitement en matière de protection des données ».
Il apparaît donc que le DPO doit justifier d’une expertise particulière antérieure en matière de protection des données personnelles. Celle-ci doit être proportionnée à la sensibilité, à la complexité et au volume des données traitées par l’organisme concerné.
L’exigence d’un DPO à temps plein ainsi que d’un accès et du support d’autres services (juridique, informatique, sécurité, etc.) (Art. 38.3 du RGPD).
L’article 38.3 du RGPD exige que le DPO dispose des ressources nécessaires pour exercer ses missions. L’adéquation de la disponibilité du DPO et des services qui le soutiennent doit s’interpréter, en particulier, à la lumière de la taille de l’organisme.
Si le contrôleur avait retenu, en l’espèce, une insuffisance de ressources (0.7 ETP – équivalent temps plein), elle résultait de circonstances particulières que le contrôlé a pallié en renforçant ses ressources. Ce dernier a par ailleurs indiqué que le DPO serait prochainement de nouveau à temps plein. Pour toutes ces raisons, la formation restreinte n’a pas retenu ce manquement.
En conclusion
La simple nomination d’un DPO auprès de l’autorité de contrôle compétente, qu’il soit interne ou externe, est bien évidemment insuffisante. Les responsables de traitement ou sous-traitant doivent analyser leurs besoins préalablement à toute désignation d’un DPO. Cela permet d’identifier :
- les compétences requises et souhaités du DPO, ainsi que
- les ressources qui devront être allouées pour lui permettre de mener à bien sa mission.
La vigilance des acteurs de traitement s’impose, en particulier en cas d’externalisation du DPO. Celui-ci doit en effet pouvoir exercer l’intégralité des missions qui lui sont attribuées par le RGPD.
Les objectifs, qualités, missions et ressources d’un DPO doivent être déterminés et surtout formalisés à la lumière de :
- la taille,
- l’activité et
- le volume de données traitées.
Bien sûr, celles-ci doivent être revues régulièrement, conformément à l’évolution de leur activité.
Anne Renard
Marion Moine
Lexing Département Conformité & Certification