Délégué à la protection des données (data protection officer ou DPO) au sein d’une structure gérant plusieurs établissements

Commentaires

Le RGPD définit dans les articles 37 à 38 de la section IV du chapitre IV les modalités de désignation du DPO, ses fonctions et missions [1]. Plusieurs statuts sont possibles : DPO interne, salarié d’une seule institution ; DPO interne mutualisé, salarié pour plusieurs institutions ; DPO externe (indépendant, ou salarié d’un organisme spécialisé).

Quel que soit son statut, le DPO doit bénéficier d’une certification initiale et d’une formation continue délivrée par un organisme agréé par la Cnil pour la France [2]. Son rôle est de conseiller et accompagner la direction et les personnes qui traitent des données personnelles ; contrôler le respect du RGPD ; être l’interface entre la Cnil et les personnes dont les données sont traitées ; assurer la documentation du traitement des données. Il ne doit pas se trouver en situation de conflit d’intérêts [1]. Ainsi, s’il exerce simultanément d’autres fonctions au sein de l’institution, celles-ci ne doivent pas donner de pouvoir décisionnel pour déterminer les finalités et les moyens de traitement des données [2]. Ce point de vigilance est central puisqu’en 2021, 78% des DPO internes avaient également d’autres fonctions, 70% consacrant moins de 25% de leur temps à cette mission [3]. Cela pose la question du cumul de la fonction de gestionnaire de risques et de DPO, notamment pour le traitement des signalements d’événements indésirables. L’exercice de ces missions suppose que le DPO dispose de moyens matériels et humains adaptés.

Cette condition n’est pas toujours remplie. En effet, en 2021, la Cnil a identifié, tous secteurs d’activité confondus, plusieurs obstacles institutionnels à la réalisation de ces missions [4] : une insuffisance de moyens ; la désignation de DPO insuffisamment qualifiés ou formés ; un accès incomplet aux ressources nécessaires (informations et interlocuteurs) ; une garantie insuffisante de l’indépendance du DPO. Dans ce contexte, des DPO se retrouvent dans une situation d’isolement ou de pression professionnelle conduisant certains à la démission [5]. Outre les problèmes de positionnement hiérarchique et de définition claire des missions et des moyens disponibles, la question de la qualification à l’embauche et de la formation est problématique. Pour les DPO internes ou mutualisés, 47% ne sont pas issus de domaines d’expertise juridique et informatique et un tiers n’a pas suivi de formation RGPD (ou Informatique et libertés) depuis 2016 [3]. Les DPO externes sont plus qualifiés et maintiennent plus souvent leurs compétences, au prix d’un rapport fourni à leur client à une périodicité variable (29% tous les mois contre 27% une fois par an).

Le descriptif de la fonction et du métier de DPO permet d’étayer la discussion avec l’employeur lors de l’embauche en fonction de l’évolution du métier [6] en s’appuyant sur le référentiel Cnil de certification des compétences du DPO. Les recommandations récentes du Comité européen de la protection des données incitent les autorités de contrôle nationales (la Cnil en France) à veiller à la nomination effective de DPO disposant de ressources suffisantes, tout en produisant des directives et des sessions de formation destinées aux DPO qui lui sont désignés [4]. En outre, ces autorités doivent rappeler aux établissements l’indispensable séparation des activités de contrôle et des missions du DPO, malgré la nécessité de travail en commun. Cela doit contribuer à valoriser le DPO, prévenir les conflits d’intérêts et garantir l’indépendance fonctionnelle du DPO. Rappeler à ce dernier ses obligations de signaler à sa hiérarchie les violations des règles RGPD fait également partie de ces recommandations.

Pour aider à mettre en œuvre ces recommandations et aider les DPO à exercer leur mission dans de bonnes conditions, l’AFCPD met à disposition de multiples ressources dont une charte de déontologie et un modèle de fiche de poste et de lettre de mission. Ces éléments permettent de mieux remplir les missions de DPO et de choisir un éventuel DPO externe.

Références

1- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE). Accessible à : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e3767-1-1 (Consulté le 19-02-2024).

2- Commission nationale Informatique et libertés (Cnil). Le guide du délégué à la protection des données. Paris: Cnil; 2022. 56 p. Accssible à : https://www.cnil.fr/fr/le-guide-du-delegue-la-protection-des-donnees (Consulté le 19-02-2024).

3- Direction de la prospective Agence nationale pour la formation professionnelle des adultes (Afpa). Évolution de la fonction de délégué à la protection des données. Paris: Ministère du Travail, de l’Emploi et de l’Insertion. 30 p. Accessible à : https://travail-emploi.gouv.fr/IMG/pdf/synthese_dpo.pdf (Consulté le 19-02-2024).

4- European data protection board (EDPB). 2023 Coordinated enforcement action - Designation and position of data protection officers. Bruxelles : EDPB; 2024. 38 p. Accessible à : https://edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf (Consulté le 19-02-2024).

5- Rasle B. Il faut sauver le soldat DPO ! 75 p. Paris: Association française des correspondants à la protection des données à caractère personnel; 2023. Accessible à : https://afcdp.net/media/documents/il-faut-sauver-le-soldat-dpo-bruno-rasle-5-mai-2023.pdf (Consulté le 19-02-2024).

6- Direction Prospective métiers Agence nationale pour la formation professionnelle des adultes (Afpa). RGPD, le délégué à la protection des données de la fonction au métier. Paris: Afpa; 48 p. Accessible à : https://afcdp.net/media/documents/Etude-DGEFP-Descriptif-fonction-DPO.pdf (Consulté le 19-02-2024).