Le délégué à la protection des données est le chef d’orchestre de la mise en conformité « Informatique et libertés » au sein d’une entreprise, d’une association, ou au sein d’une administration.
Sa désignation devient obligatoire, dans un certain cas, et, par ailleurs, il bénéficie, dans la loi, d’un statut spécifique.
Désignation obligatoire
La nomination d’un délégué à la protection des données si elle est fortement recommandée par la CNIL, elle est obligatoire dans un certain nombre de cas.
Secteur public
Le premier cas concerne tout le secteur public, puisque ce que prévoit le règlement européen, est que toutes les structures du secteur public doivent, désormais, désigner un délégué à la protection des données.
Secteur privé
Deuxième cas, dans le secteur privé, le règlement prévoit que toutes les entreprises mettant en œuvre des traitements dont la finalité est le suivi régulier et systématique, à grande échelle, de personnes, doivent aussi désigner un délégué à la protection des données.
Cette notion de suivi régulier et systématique à grande échelle, des personnes, est une notion un peu compliquée. Si on devait la traduire plus simplement, aujourd’hui, cela concerne toutes les entreprises mettant en œuvre des traitements de profiling, de segmentation comportementale, d’analyse fine de la navigation d’un internaute, des traitements de lutte contre la fraude, des traitements de marketing ciblé, etc., dans toutes ces hypothèses où on fait du profiling et de la segmentation, on est tenu de désigner un délégué à la protection des données.
Cela dépasse de loin les questions liées à l’Internet, puisqu’une entreprise commerciale lambda, qui a un fichier clients, dans lequel il y a des techniques de segmentation et d’analyse comportementale qui sont impliquées, relève de cette disposition.
De la même manière, le traitement de gestion des ressources humaines, dans lequel il existe des systèmes d’analyse comportementale fine des salariés, relève d’une désignation obligatoire du délégué à la protection des données.
Données sensibles ou données d’infraction
Dernier cas, c’est l’hypothèse où dans ses traitements, on collecte des données sensibles ou des données d’infraction.
Le règlement prévoit que l’on peut désigner un délégué à la protection des données mutualisé, au sein d’un groupe d’entreprises ou entre plusieurs collectivités locales.
Il y a aussi la possibilité, pour des associations professionnelles et des représentants de responsables de traitement, de désigner des délégués à la protection des données.
Le Statut du délégué à la protection des données
Le délégué à la protection des données a un statut particulier, un statut précis, fixé par les textes.
Il peut être interne ou externe, c’est-à-dire qu’il peut être salarié de la structure qui l’emploie, comme il peut aussi être consultant externe.
Le délégué à la protection des données a un statut public, sa désignation doit être réalisée officiellement, auprès de la CNIL, via une procédure particulière, de même que les personnes fichées doivent être officiellement et formellement informées de l’existence du délégué, ce qui peut passer par une information sur le site internet de l’entreprise.
Autre élément, en termes de statut, le délégué à la protection des données doit exercer ses fonctions en étant à l’abri de tout risque de conflit d’intérêt. On ne peut être directeur informatique et délégué à la protection des données à la fois.
Les compétences du délégué à la protection des données
Le délégué doit disposer des compétences requises pour exercer ses fonctions.
Le règlement européen, exige que ce délégué à la protection des données connaisse son métier, qu’il connaisse la réglementation « Informatique et libertés », et qu’il soit conscient des enjeux et des risques pour le responsable du traitement. Tout ça passe par des exigences en termes de formation et d’expérience professionnelle.
On ne peut pas être délégué à la protection des données, si on n’a pas une connaissance de base de la réglementation « Informatique et libertés ».
Plus votre traitement est sensible, plus il est complexe, plus l’encadrement sera complexe et nécessitera, de la part de ceux qui vont travailler sur cet encadrement, une connaissance fine de la réglementation.
Aujourd’hui, en France, près de 15 000 structures ont déjà désigné des correspondants « Informatique et libertés », et beaucoup de ces correspondants « Informatique et libertés » ne sont pas des juristes, ce sont des informaticiens ou ce sont des professionnels issus d’autres secteurs d’activité, qui peuvent être issus du marketing, des RH, de la gestion de la conformité. Il faut retenir que la dimension juridique est essentielle, mais qu’un non-juriste peut s’en emparer, s’il fait l’effort de se former à cette réglementation.
Pour que le délégué à la protection des données soit capable d’accomplir correctement ses missions, d’évaluer les risques « Informatique et libertés », de conseiller correctement le responsable du traitement, il faut qu’il ait la connaissance des projets informatiques de l’entreprise, il faut qu’il sache ce qui se passe au sein de sa structure, et ça, ça va nécessiter de travailler avec tous les services support, la direction juridique, la direction informatique, et avec tous les services métier, le service des RH, le marketing, la gestion du risque, etc.
Il y a d’abord une certification qui est proposée par la CNIL elle-même, et au-delà, il y a, aujourd’hui, des certifications qui existent sur le plan universitaire, dont une qui est proposée par le Cnam.
Les missions du DPD
Information et contrôle
Les deux principales missions du DPD sont celles de l’information et du contrôle du respect du règlement.
Le délégué doit d’abord informer et conseiller l’organisme qui l’a désigné, mais pas seulement l’organisme, aussi les employés et les personnes qui vont mettre en œuvre ces opérations de conformité, par la suite il va contrôler leur respect du règlement.
Analyse d’impact
Ensuite, il y a des missions qui sont plus précises, qui sont liées à des activités particulières.
La première mission particulière est liée à un nouvel outil de conformité prévu par le règlement européen, qu’on appelle l’analyse d’impact. Cette analyse d’impact est un nouvel outil qu’il va falloir mettre en œuvre et qui va aider l’organisme à mesurer l’impact de son traitement de données sur les personnes concernées.
Est-ce que ça va impliquer un risque élevé, pour les personnes, en matière de vie privée?
Le règlement européen prévoit que le délégué soit consulté, que ce soit sur l’opportunité de mettre en place cette analyse d’impact, est-ce qu’on doit faire cette analyse ou pas ? Comment est-ce qu’on va la faire ? Qui doit être autour de la table pour réaliser cette analyse d’impact ?
Pour cela, il faudra faire appel aux conseils du délégué à la protection des données, qui, lui-même, pourra s’appuyer sur d’autres ressources en interne, mais si on ne fait pas appel au délégué à la protection des données, il va falloir l’expliquer, car c’est prévu par le règlement.
Liaison CNIL/personnes
L’autorité de contrôle, en France, est la commission nationale « Informatique et libertés », qui est à même de discuter avec l’organisme sur certains projets.
Le délégué peut aussi être le point de contact pour les personnes concernées par les traitements de données, et ces personnes concernées, bien sûr, ça peut être des personnes en interne, le personnel d’une entreprise, les étudiants d’une université, les patients d’un hôpital.
Il va y avoir toute une organisation de la communication qui va devoir être prévue, au niveau de l’organisme, en relation avec le délégué, qui devra être en capacité de recevoir ces demandes d’information, pour éventuellement les dispatcher aux personnes compétentes pour y répondre.
Documentation
Un des premiers outils de cette documentation, c’est le registre des activités de traitement, qui peut décider de déléguer au DPO.
De façon générale, le délégué à la protection des données va s’assurer de la bonne tenue de la documentation, et pourquoi pas, plus précisément, aura en charge la bonne tenue de ce registre des activités de traitement.
Les moyens du DPD
Le règlement européen prévoit que le délégué à la protection des données doit avoir des moyens et des ressources nécessaires à l’exécution de ses missions.
Concrètement, ça va passer par, tout d’abord, avoir du temps disponible pour se former, pour informer, du temps disponible pour participer aux réunions auxquelles il doit être associé.
C’est également veiller à ce qu’il puisse reporter, au niveau le plus élevé de l’organisme.
De la même façon, s’il n’a pas accès aux espaces, aux comités où sont prises les décisions qui impactent les traitements de données à caractère personnel dans l’organisme qui l’a désigné, c’est un obstacle concret, très simple à identifier, qu’il devra donc, documenter et faire remonter pour qu’une solution soit trouvée.
Il faut qu’il soit indépendant, libre dans la façon d’organiser ses missions, mais surtout libre de pouvoir donner un conseil qui n’est peut-être pas celui qu’on a envie d’entendre.
