RGPD - DPO externe

Règlement Général sur la Protection des Données - Délégué à la Protection des Données

Le délégué à la protection des données est au cœur du nouveau règlement européen. Les lignes directrices adoptées dans leur version finale le 5 avril 2017 par le G29, groupe des « CNIL » européennes, clarifient et illustrent d’exemples concrets le nouveau cadre juridique applicable en mai 2018 dans toute l’Europe.

le DPD externe Yume Solutions en quelques mots

  1. Les missions du DPD (ou DPO en anglais):
    • Participer à la conformité des traitements et veiller en toute indépendance au respect de la loi
    • Etablir et maintenir la liste des traitements
    • Analyser, investiguer, contrôler
    • Fournir les recommandations et avertissements
    • Informer, sensibiliser et diffuser une culture informatique  et libertés
    • Présenter un bilan annuel
    • Être le  point de contact  (CNIL, utilisateurs, direction, …) et de coordination
    • Alerter le cas échéant
    • Organisation de la gouvernance
  2. Modalités d’accès au DPD: de manière simple et directe
    • Coordonnées : téléphone , adresse de courrier électronique, adresse postale
  3. Indépendance du DPD : le responsable du traitement doit s’abstenir de toute ingérence notamment dans le cas de renouvellement de prestations

Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du délégué, sous peine de sanctions.

Les lignes directrices du G29 ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions. Elles contiennent des recommandations et des bonnes pratiques  permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations avec flexibilité et pragmatisme.

A la suite d’un appel à commentaires, les lignes directrices ont été enrichies et adoptées par le G29 dans leur version finale le 5 avril 2017. 

A retenir

Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

Pour garantir l’effectivité de ses missions, le délégué :

  • doit disposer de qualités professionnelles et de connaissances spécifiques,
  • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

1.1    Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

La désignation d’un délégué est obligatoire pour :

  1. Les autorités ou les organismes publics,
  2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, 
  3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Les lignes directrices du G29 clarifient les critères posés par le règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

1.2    Que signifie coopérer avec l’autorité de contrôle et être le point de contact avec celle-ci ?

L’une des missions du délégué est d’être le point de contact pour l’autorité de protection des données et de coopérer avec elle. A ce titre, le délégué doit faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité (par exemple lors d’échanges avec l’autorité dans l’instruction d’une plainte, ou en cas besoin de précisions sur un projet en cours ou bien encore, dans le cadre d’un contrôle de l’autorité).

L’obligation de confidentialité ou de secret professionnel du délégué ne doit pas l’empêcher de demander conseil à l’autorité sur tout sujet, si nécessaire. 

1.3    Comment organiser la fonction de délégué à la protection des données ?

En vue de la préparation à la fonction de délégué, il est recommandé de :

  • s’approprier les nouvelles obligations imposées par le règlement européen, en s’appuyant notamment sur les lignes directrices du G29 (portabilité, autorité chef de file, analyse d’impact).
  • confier  au futur délégué les missions suivantes :
    • réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
    • évaluer ses pratiques et mettre en place des procédures (audits, privacy  by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
    • identifier les risques associés aux opérations de traitement ;
    • établir une politique de protection des données personnelles ;
    • sensibiliser les opérationnels et la direction sur les nouvelles obligations

Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).

Source : CNIL 

Yume Solution expert en SI (Système d’Information), a choisi de proposer à ses clients des profils techniques ayant une appétence pour les sujets liés à la protection des données.