Positionnement

Data protection officer

Une place de conseiller spécial
de la direction

Une place de conseiller spécial de la directionMême si ce n’est pas formulé de la sorte, l’alinéa 3 de l’article 38 du Règlement général sur la protection des données va jusqu’à exiger que le data protection officer « ne reçoive aucune instruction en ce qui concerne l’exercice des missions, [ne puisse] être relevé de ses fonctions ou pénalisé […] pour l’exercice de ses missions [et fasse] directement rapport au niveau le plus élevé de la direction« .
Cette définition pourrait susciter des réactions si on la met en perspective avec la traduction française de l’intitulé de la fonction, « délégué à la protection des données » ; peut-être le premier terme a-t-il été mal choisi (ou mal traduit) car il peut laisser penser qu’il s’agit d’un exécutant (alors que « officer » en anglais fait plutôt référence à une idée de manager).

Justement, comme veut le faire comprendre le législateur européen, c’est une place centrale et particulière qu’occupe le nouveau délégué à la protection des données notamment dans les entreprises. Surtout, la dernière partie de l’alinéa 3 en fait l’interlocuteur privilégié des dirigeants en terme de protection des données de tiers utilisées par l’organisme et, en conséquence, nécessairement un membre de la hiérarchie pour pouvoir à ce point influencer les décisions prises au sommet.

Et comme si cela n’était pas suffisant, le G29, ou groupe de travail « Article 29 » sur la protection des données composé des représentants de toutes les CNIL de l’Union Européenne, conseille d’inclure le data protection officer aux origines des projets et process mettant en jeu les données personnelles des utilisateurs. Et ce ne serait-ce que pour satisfaire au principe de « Privacy by design » cher au RGPD.

 

 

En corollaire, une totale indépendance
dans l’exercice des missions

En corollaire, une totale indépendance dans l'exercice des missionsLes autres termes de l’article 38 évoqués précédemment sont très clairs, pas d’instruction donnée au DPO et aucune sanction pouvant le toucher. Ceci concerne manifestement aussi bien ses collègues directs, quelle que soit leur place dans la hiérarchie, que les dirigeants eux-mêmes ! Le considérant 97 du RGPD précise ainsi que les « délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance« .

Cette non-ingérence dans l’exécution de ses missions, évitant les contraintes professionnelles voire les pressions, est vraisemblablement la seule garantie d’une totale indépendance du professionnel. Indépendance vitale au regard des enjeux et des sanctions possibles en cas de non-respect aux règles édictées par le Règlement européen.

Egalement, cette indépendance ne pourra être obtenue que par des moyens conséquents mis à la disposition du data protection officer. A ce titre, l’alinéa 2 de l’article 38 du RGPD énonce que « le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer [ses] missions en [lui] fournissant les ressources nécessaires« . On peut interpréter cette dernière expression de plusieurs manières différentes : moyens matériels, financiers et même humains.