Quand la désignation d’un DPO est-elle obligatoire ?

La désignation du DPO incombe obligatoirement au responsable du traitement et à son sous-traitant dans les hypothèses suivantes :

i) Dans le secteur public : 

- lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle). Le GDPR ne définissant pas les notions d’«autorité» ou d’«organisme» public, il convient de s’en remettre au droit national sur ce point.

ii) Dans le secteur privé : 

- lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

- lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles (i.e. : données de santé, données génétiques, données biométriques, données relatives à la vie ou l’orientation sexuelle d’une personne, données relatives à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale) ou relatives à des condamnations pénales et à des infractions.

Il ressort des lignes directrices du G29 (groupement des autorités de contrôle européennes), révisées le 5 avril 2017, que la notion d’«activité de base» doit s’entendre (a) des opérations clés nécessaires au responsable de traitement pour atteindre ses objectifs ou (b) de l’activité du responsable qui est inextricablement liée à des traitements de données. Ainsi, l’activité de base d’une clinique est de prodiguer des soins, mais cette activité ne peut être réalisée sans traiter les données de santé des patients. Quant à l’expression «à grande échelle», elle doit être comprise comme couvrant les traitements qui visent à traiter un volume considérable de données personnelles au niveau régional, national ou supranational et qui peuvent affecter un nombre important de personnes concernées (GDPR, Cons. 91). Le G29 est venu par ailleurs préciser que la durée et la permanence du traitement en cause devaient également être prises en compte. Il en résulte, par exemple, que les traitements réalisés par les banques ou les compagnies d’assurances dans le cadre de leurs activités, de même que ceux réalisés par les opérateurs de télécoms, entraîneront systématiquement l’obligation de désigner un DPO. 

En toute hypothèse, quand bien même sa désignation ne serait pas obligatoire, il est fortement recommandé à toute entreprise de désigner un DPO, notamment aux fins de coordonner les actions à mener en vue d’assurer la bonne conformité de ses traitements de données personnelles au GDPR (toute entreprise devant désormais, selon le principe de l’«accountability», être en mesure d’apporter à tout moment la preuve du respect de ses obligations au Règlement).

Qui peut être DPO ?

Aux termes de l’article 37.5 du GDPR, le délégué à la protection des données est désigné sur la base de «ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions». Tout comme les actuels Correspondants Informatique et Libertés (dont les profils se répartissent entre techniciens à 47 %, juristes à 19 % et administratifs à 10 %), il existe un certain flou autour de la qualification professionnelle requise des futurs DPO, aucune condition de diplôme n’étant notamment mentionnée. Tout au plus le G29 a-t-il précisé que le niveau de qualification du DPO devait être proportionnel au degré de complexité des traitements mis en œuvre. Afin de donner un peu plus de consistance à ce flou textuel, il est probable que les autorités de contrôle nationales soient amenées, à l’avenir, à mettre en place ou à certifier un certain nombre de formations qualifiantes.

Une chose est sûre : le DPO peut être soit un salarié de l’entreprise (qui ne bénéficie pas du statut de salarié protégé à ce titre), soit un DPO extérieur, exerçant ses missions sur la base d’un contrat de service (art. 37.6). Dans cette dernière hypothèse, le DPO peut-il être un avocat ? La réponse est affirmative, dès lors que l’avocat en question ne s’expose pas à un conflit d’intérêts. A cet égard, il conviendra notamment de s’assurer, tout comme pour les DPO internes, qu’il n’est pas amené à déterminer les finalités et les moyens des traitements en cause. Enfin, l’«avocat-DPO» ne pourra pas représenter en justice l’entreprise dont il est le délégué à la protection des données, en cas de procédures administratives ou judiciaires mettant en cause le responsable du traitement (cf. le futur article 6.3.3 du règlement intérieur national de la profession d’avocat).

Enfin, un groupe d’entreprises peut désigner un seul délégué à la protection des données, à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement (physiquement, via une hot line ou tout autre moyen de communication sécurisé). Dans les faits, s’il est recommandé que le DPO soit localisé au sein de l’Union, le G29 a toutefois d’ores et déjà admis qu’il pouvait être localisé en dehors de l’Union si le responsable de traitement ou le sous-traitant n’avait pas d’établissement dans l’Union. 

L’article 39 du GDPR définit les missions que le délégué à la protection des données devra accomplir a minima, étant entendu que les législations nationales de chaque Etat membre pourront venir, le cas échéant, compléter ce dispositif. A ce titre, le DPO devra notamment : 

- informer et conseiller le responsable du traitement ou le sous-traitant (ainsi que les employés qui procèdent au traitement) sur les obligations qui leur incombent en vertu du GDPR ou du droit des Etats membres en matière de protection des données ;

- contrôler le respect du GDPR et du droit des Etats membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant. 

Pour autant, en cas de manquement avéré au GDPR, le DPO ne saurait engager sa responsabilité en lieu et place du responsable de traitement (cf. art. 5, 22 et 24 du GDPR), pas plus qu’il ne saurait être relevé de ses fonctions, ou pénalisé, par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions (art. 38.3) ;

- dispenser des conseils, sur demande, en ce qui concerne les analyses d’impact relatives à la protection des données et vérifier l’exécution de celles-ci (aux termes de l’article 35.1 du GDPR, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel) ;

- coopérer avec l’autorité de contrôle et être le point de contact de celle-ci. En pratique, le DPO est censé faciliter l’accès par l’Autorité aux documents et informations sollicités dans le cadre de l’instruction d’une plainte ou dans le cadre d’un contrôle.

En toute hypothèse, le DPO ne pourra remplir pleinement ses missions que si la direction générale lui en donne les moyens (matériels et humains) et s’implique pleinement, tout comme les directions fonctionnelles (IT, RH, marketing, etc.), dans la mise en œuvre du programme de «data compliance» qu’impose désormais le GDPR à toutes les entreprises qui traitent des données personnelles.