Le règlement européen (1) a créé le délégué à la protection des données, acteur essentiel des données personnelles.
Le Data protection Officer (DPO), traduit dans la version française du règlement en « délégué à la protection des données », se substitue au Correspondant Informatique et libertés (Cil) et se voit doter de compétences élargies.
Tout d’abord, la désignation d’un délégué à la protection des données est impérative, pour le responsable et le sous-traitant dans les situations suivantes (2) :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
- leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.
Force est de constater que certains des critères de désignation visés ci-dessus demeurent flous et requièrent d’être précisés par les autorités de contrôle, et ce avant le 25 mai 2018, date d’application du règlement.
Le rôle qui est confié au délégué à la protection des données prend de l’ampleur notamment dans l’étendue des missions qui lui sont attribuées (3). Ainsi, il sera chargé de :
- informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
- contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
- coopérer avec l’autorité de contrôle ;
- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.
Le large spectre couvert par ses missions explique, alors, l’exigence du degré de compétences requis, puisque le délégué à la protection des données doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données (4) », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.
Cela n’empêche pas, toutefois, au responsable de traitement ou au sous-traitant de recourir, soit à un membre du personnel, soit de faire appel à un prestataire externe pour l’exercice de cette mission.
Le renforcement des compétences du délégué à la protection des données se traduit également par le fait qu’il constitue désormais une interface de contact auprès de l’autorité de contrôle mais également auprès du responsable de traitement notamment à la suite d’une analyse d’impact pour laquelle il existe un risque de violation de données personnelles (5).
Enfin, l’ensemble des missions confiées au délégué à la protection des données doit pouvoir être exercée en toute indépendance, ainsi, le responsable de traitement et le sous-traitant devront veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions » (6).
Le délégué à la protection des données apparaît comme un des acteurs incontournables du traitement des données à caractère personnel, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Règlement 2016/679 du 27-4-2016.
(2) Règlement 2016/679 du 27-4-2016, art. 37.
(3) Règlement 2016/679 du 27-4-2016, art. 39.
(4) Règlement 2016/679 du 27-4-2016, art. 37.5.
(5) Règlement 2016/679 du 27-4-2016, art. 36.3.
(6) Règlement 2016/679 du 27-4-2016, art. 38.