Foire aux questions

FONCTION

Le délégué à la protection des données (en anglais data protection officer) est une nouvelle fonction créée par le Règlement Européen sur la protection des données personnelles (articles 37 à 39) qui entre en application en France comme dans les autres pays de l’Union Européenne le 25 mai 2018.

Obligatoire dans certains cas, recommandé dans l’ensemble, il est l’organe assurant, facilitant et contrôlant le respect des règles du texte communautaire dans l’entité où il officie.

Schématiquement, cette nouvelle fonction est le prolongement et la professionnalisation du concept de « détaché à la protection des données à caractère personnel » introduit par une directive communautaire de 1995 et traduit en France en 2004 par le « correspondant à la protection des données à caractère personnel », plus connu sous le nom de « correspondant informatique et libertés » (le célèbre CIL).

En outre, le délégué à la protection a été voulu comme la pierre angulaire de la protection des données, un intermédiaire de choix entre l’ensemble des acteurs (autorités de surveillance, personnes dont sont issues les données et entreprises privés / organismes publics).

MISSIONS

Le délégué à la protection des données, suivant les recommandations du G29, a la lourde tâche d’insuffler une « culture Informatique et Libertés » au sein de l’entreprise, parfois déjà bien présente par le biais du CIL.

Le règlement européen trace d’ailleurs a minima le contour de ses actions :

– missions de conseil et de veille en matière de protection des données personnelles pour l’entité qui a recours à ses services,
– contrôle du respect des règles du règlement européen et des autres textes nationaux applicables sur le sujet,
– analyse d’impact,
– interlocuteur principal et privilégié de la Commission Nationale Informatique et Libertés (CNIL),
– relais entre tous les intervenants (entreprise – personnes concernées par la collecte de données – CNIL).

OUI et NON

En principe NON, le délégué à la protection des données n’engage pas sa responsabilité personnelle en cas de non-respect du règlement européen. De plus, ce dernier le protège en rendant impossible sa révocation ou sa sanction (article 38, alinéa 3) au sein de l’entité où il officie. Et ce afin de garantir au maximum son indépendance.

 

Mais OUI en cas :

– d’infraction délibérée et consciente au Règlement européen,

– de complicité avérée (active), c’est-à-dire si le responsable de traitement ou le sous-traitant enfreint le Règlement et que le DPO l’appuie dans cette démarche.

NOMINATION

Le délégué à la protection des données est rendu obligatoire en France comme dans les autres pays de l’Union Européenne pour :

  1. les organismes privés qui traitent, en tant qu’activité de base, les données des individus systématiquement et à grande échelle,
  2. les organismes privés qui traitent des types de données spéciales et sensibles à grande échelle,
  3. les autorités et organismes publics, quelles que soient les données traitées.

Nota : la notion d’ « organisme » devant être entendue au sens large, cela inclut les sous-traitants.

 

On le voit, la présence dans l’entreprise d’un délégué à la protection des données est soumise à plusieurs conditions qu’il convient d’expliciter (cf. infra).

Enfin, n’oublions pas qu’une loi française ultérieure votée par le Parlement pourrait très bien aller plus loin que le texte communautaire et rendre le délégué à la protection des données obligatoire en France pour des cas supplémentaires ou pour toutes les situations.

Le délégué à la protection des données est donc obligatoire selon le Règlement européen pour les organismes privés dont les activités de base les amènent à réaliser un traitement automatisé de données avec suivi régulier et systématique à grande échelle.

Mais qu’entend-on par « activité de base » ?

 

Le considérant 97 du préambule du Règlement européen énonce ainsi que « dans le secteur privé, les activités de base d’un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire ». Ceci signifie donc que les activités de base désignent les opérations clés du responsable de traitement de données inextricablement liées à ses objectifs.
En somme, pas de données, pas de business.

Exemple :  une société spécialisée dans la surveillance de lieux publics ou privés aura indubitablement besoin d’exploiter des données récoltées pour mener à bien sa mission et serait totalement déficiente dans le cas contraire.

 

Cependant, on considérera que les fonctions dites support d’une entreprise comme les services de hotline informatique ou de paie, malgré les traitements de données effectuées, constituent des activités auxiliaires et ne rendent donc obligatoire la présence d’un délégué à la protection des données.

Le délégué à la protection des données est donc obligatoire selon le Règlement européen pour les organismes privés dont les activités de base les amènent à réaliser un traitement automatisé de données avec suivi régulier et systématique à grande échelle.

Mais qu’entend-on par « suivi régulier et systématique » ?

 

C’est ici le considérant 24 du préambule du Règlement européen qui nous dit très précisément qu’ « afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses a dispositions d’esprit ».

A la lecture de ces lignes, on pense d’emblée à des pratiques marketing assez poussées telles le profiling, le scoring ou encore l’e-mail retargeting en passant par la publicité comportementale.

Mais il semble que le G29 (groupement des CNIL européennes) ait en vue une vision beaucoup plus extensive de la notion en incluant la simple prospection ciblée effectuée par exemple à partir des rapports quotidien de Google Analytics ou par l’intermédiaire d’un système de fidélisation.
Ainsi, l’ensemble des e-commerçants pourraient être visés par cette formulation. Et ce, bien sûr dans l’optique d’obliger les entreprises privés à désigner un délégué à la protection des données !

 

Concernant le terme « régulier », le G29 l’interprète là-aussi de manière large et considère que rentrent dans cette acceptation des situations se déroulant autant de manière épisodique (pour peu qu’une fréquence puisse malgré tout être dégagée) que de manière constante.

 

Enfin, le terme « systématique » renvoie ici à la notion de système, allant d’une organisation conceptualisée en amont jusqu’à une véritable stratégie de collecte et d’exploitation des données en aval.

Le délégué à la protection des données est donc obligatoire selon le Règlement européen pour les organismes privés dont les activités de base les amènent à réaliser un traitement automatisé de données avec suivi régulier et systématique à grande échelle.

Mais qu’entend-on par « à grande échelle » ?

 

Evidemment, on peut encore une fois interpréter cette expression de mille et une façons différentes, selon notre sensibilité.
Pour les uns, ceci ne concernera que d’importants volumes de données, que seul un opérateur de téléphonie pourrait atteindre par exemple. Pour d’autres en revanche, pas besoin d’atteindre ces sommets pour réaliser des traitements de données à grande échelle.

 

Quoi qu’il en soit, le considérant 91 du préambule du règlement parle de «  volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées ».

Les responsables de traitement devront donc regarder :

– le volume de données concernées,
– la durée ou la fréquence de l’activité de traitement,
– l’étendue géographique.

Le délégué à la protection des données est obligatoire pour les organismes privés dont les activités de base les amènent à réaliser un traitement automatisé de données avec suivi régulier et systématique à grande échelle.
Des mots forts et évoquant littéralement de premier abord des situations exceptionnelles par leur ampleur.

 

Pourtant, il convient bien d’interpréter ces notions de manière (très) extensive, l’objectif non dissimulé du Règlement européen étant d’encourager la nomination au sein du maximum d’entreprises privées d’un délégué à la protection des données.

Et ce, notamment pour satisfaire au minimum aux nouveaux principes de /reglement-europeen-sur-la-protection-des-donnees/gouvernance « Informatique et Libertés », de prudence et d’accountability (voir la page consacrée au Règlement européen).

Oui, ils le sont aussi !

Le terme d’ « organismes » est ici à prendre au sens large, elles concernent bien TOUTES les entreprises, même celles travaillant pour le compte d’une autre.

RECRUTEMENT

La nouvelle fonction de délégué est le prolongement du « correspondant informatique et libertés » (CIL).

Si la loi « Informatique et Libertés » de 1978, modifiée à plusieurs reprises depuis, était peu explicite quant à la qualification des CIL, le règlement européen souhaite que le délégué à la protection des données justifie de « connaissances spécialisées en droit » et de « pratiques en matière de protection des données ».

 

Ainsi, le profil type préconisé par le texte communautaire est :

  1. soit juridique (avocats spécialisés en NTIC, directeurs juridiques, juristes, etc.) avec des connaissances techniques (suffisantes et proportionnées à la complexité de la situation et à la sensibilité des données traitées),
  2. soit technique (informaticien, expert en sécurité, etc.) avec des connaissances juridiques (très) solides.

Le délégué à la protection des données, assez logiquement, a été voulu comme étant un salarié de l’organisme responsable de traitement ou du sous-traitant (contrat de travail).

Néanmoins, ce critère n’a pas été rendu obligatoire. En effet, le règlement européen a laissé toute latitude aux acteurs pour désigner leur délégué en externe (contrat de prestation de services).

 

Ainsi l’instance communautaire, consciente de la potentielle lourdeur d’une augmentation forcée de la masse salariale, a privilégié la flexibilité, et ce toujours dans le but d’encourager systématiquement la désignation d’un délégué à la protection des données au sein des entreprises.

L’article 83 du Règlement européen sanctionne le défaut de désignation d’un délégué à la protection des données, par un organisme qui y était pourtant obligé, à au maximum 10 millions d’euros d’amendes ou pour une entreprise privée à 2% de son chiffre d’affaires annuel mondial total sur l’exercice précédent, en retenant le montant le plus élevé des deux situations.

On remarquera qu’il n’est pas fait de distinctions quant aux raisons de cette absence de désignation, celle-ci peut tout autant provenir d’un acte délibéré que d’une simple négligence, hautement préjudiciable donc…

Une réponse vous manque (et tout est dépeuplé) ?

N’hésitez pas à nous envoyer votre question. Si celle-ci mérite d’être partagée, nous ne manquerons pas de l’ajouter à cette foire aux questions.