Qui désigner comme délégué à la protection des données ?
Le délégué à la protection des données (DPO), doit avoir des connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi qu’une capacité à accomplir les missions visées à l’article 39.
De manière générale, son niveau de connaissances spécialisées doit être déterminé en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données traitées. Sa connaissance sera donc adaptée à la sensibilité, la complexité et le volume de données traitées, si les traitements impliquent des transferts réguliers ou occasionnels hors des frontières de l’Union etc. sans qu’un diplôme spécifique ne soit requis. Outre un niveau d’expertise en protection des données, la connaissance du secteur d’activité et de l’organisation du responsable du traitement ou du sous-traitant est essentielle. Par ailleurs, une connaissance approfondie des systèmes informatiques internes et une connaissance de tous les processus d'entreprise peuvent représenter une plus-value pour l'exercice de la fonction de DPO. Ce qui précède a été précisé dans la décision quant au fond n° 15/2020 du 15 avril 2020 concernant le traitement par une commune de données à caractère personnel de locataires au moyen de la déclaration fiscale.
L’APD recommande aux responsables du traitement et aux sous-traitants concernés de documenter leur choix ainsi que la fonction de délégué. Les actions entreprises et les documents établis dans ce contexte devront par ailleurs être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Le responsable du traitement et le sous-traitant doivent en effet respecter l’article 37.5 du RGPD qui prévoit que le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Ceci a été précisé dans la décision quand au fond n° 73/2020 du 13 novembre 2020 concernant le non-respect de plusieurs principes du traitement de données, dont ceux de licéité et de transparence.
L’Autorité est régulièrement interrogée pour savoir si le "conseiller en sécurité", que certaines organisations doivent désigner, peut devenir le délégué à la protection des données. Le RGPD ne l'interdit en principe pas. Le responsable du traitement et le sous-traitant, qui souhaitent ou doivent désigner un délégué, doivent examiner la possibilité de cumul avec une autre fonction ou le passage d'une fonction à l'autre afin d’éviter des conflits d’intérêt. Les coordonnées du DPO doivent être communiquées à l’autorité de contrôle.
Questions
Non. Aux termes du RGPD, l’autorité de protection des données n’a pas reçu la compétence de valider le choix du délégué à la protection des données par le responsable du traitement ou le sous-traitant. Le RGPD prévoit uniquement la communication des coordonnées du délégué à l'autorité de contrôle (article 37.7). Cette communication des coordonnées n’est en aucune façon à considérer comme une forme de demande d’accord ou de validation de l'autorité de contrôle sur cette désignation. Une telle approche serait contraire au principe de responsabilité.
Le RGPD permet les 2 possibilités. Le délégué à la protection des données peut être un employé du responsable de traitement ou du sous-traitant concerné. Ces derniers peuvent également faire appel à un DPO externe via un contrat de service. Dans ce dernier cas, un même DPO pourra travailler pour plusieurs entreprises ou autorités et organismes publics pour autant bien sûr, qu’il reçoive suffisamment de soutient, ait suffisamment de temps à consacrer à chacun de ses « clients » et que cela n’entraîne pas de conflit d’intérêt dans son chef.
Le RGPD prescrit que le délégué est désigné sur la base de ses qualités professionnelles, et en particulier ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39 du RGPD. Aucun diplôme défini ni certification particulière ne sont requis.
Non. Cependant pour lui permettre d’effectuer correctement sa mission et de concrétiser l’exigence d’indépendance, une certaine stabilité est souhaitable.
Non. Il n'est pas possible d'établir une liste exhaustive des incompatibilités. Le fait que certaines fonctions soient compatibles ou non dépend en définitive de la situation concrète.
Ceci permet interpréter les différents rôles au sein de chaque entité de manière flexible – dans les limites fixées par le RGPD. Le Groupe de travail Article 29 a rédigé des lignes directrices relatives à la désignation du délégué à la protection des données dans lesquelles il explique les conditions liées à l'indépendance ainsi qu'à l'interdiction de conflits d'intérêts.
Comme indiqué dans la partie sur l’indépendance du DPO, bien que le DPO puisse exercer d'autres fonctions, il ne peut se voir conférer d'autres missions et responsabilités qu’à la condition que celles-ci n'engendrent pas de conflit d'intérêt. Cela implique notamment que le délégué ne peut occuper une fonction au sein de l’organisme qui le conduit à déterminer les finalités et les moyens du traitement de données à caractère personnel. En règle générale, les fonctions/positions conflictuelles au sein d’une entreprise peuvent comprendre des postes de direction, mais peuvent également comprendre des fonctions se situant à un niveau inférieur de la structure organisationnelle.
Le cumul de fonctions de DPO et CISO (abréviation pour Chief Information Security Officer) n’entraine pas de conflit d’intérêt si le DPO ou CISO n’est pas responsable d’un département opérationnel. Ce qui précède a été précisé dans la décision quant au fond n° 56/2021 du 26 avril 2021 concernant la consultation illicite des données personnelles et refus de droit d'accès.
L'Autorité de protection des données souligne que les responsables du traitement et les sous-traitants de doivent motiver leur analyse et leur choix final du DPO. En effet les documents concernés doivent pouvoir être transmis par le responsable du traitement à l’Autorité de protection des données, par exemple dans le cadre d’une enquête de son Service d’Inspection.
Il convient d’anticiper l’absence d’un DPO en mettant en place une procédure en cas d'absence de celui-ci, laquelle peut en pratique, être de courte ou de longue durée ainsi que planifiée ou totalement imprévue. Il incombe en effet au responsable de traitement ousous-traitant concernés de garantir la continuité de leurs obligations conformément aux RGPD et, dans le respect du principe de responsabilité, de pouvoir en apporter la démonstration à l'Autorité de protection des données (APD).
Sans pouvoir entrer dans la multiplicité des cas de figure qui pourraient se présenter, les principes ci-dessous doivent servir de guide:
- En toute hypothèse, l'absence du DPO ne diminue en rien les obligations qui pèsent sur le responsable de traitement ou sous-traitant concerné. Malgré l’absence de DPO, le responsable de traitement et le sous-traitant doivent se conformer à ses obligations sous le RGPD: il faut notamment que les personnes concernées reçoivent une réponse à leurs questions, à leurs demandes d’exercice de leurs droits dans les délais impartis par le RGPD. De la même manière, les contacts avec l’APD doivent être garantis. L’objectif premier est que la fonction de DPO soit toujours garantie. A cet effet, en l’absence du DPO, la fonction doit être assurée par une personne qui dispose des qualifications et du statut requis par le RGPD ou qui s'en rapprochent le plus, pour permettre précisément la continuité effective de la fonction.
- Les modalités concrètes de la gestion de l’absence du DPO tiendront compte de paramètres tels que : la durée de l'absence, le type d'actes posés par le DPO et les délais applicables ou prévus, le degré de risque des traitements opérés par le responsable de traitement ou sous-traitant concerné, la taille de la structure du responsable de traitement ou sous-traitant, l'existence au sein de la structure d'autres DPOs et tout autre paramètre contextuel pertinent. Il pourra en résulter soit une simple gestion de l’absence pour garantir l’exercice de la fonction par d’autres (en interne ou en faisant temporairement appel aux services d’un DPO externe par exemple), soit en un nécessaire remplacement du DPO, particulièrement en cas d’absence de longue durée.
- Pendant l’absence du DPO, les règles relatives au respect de la confidentialité et de la protection des données sur le lieu de travail sont d’application. A cet égard, l’existence d’une adresse de contact fonctionnelle (et non nominative) est un atout.
- Pour rappel, les coordonnées du DPO doivent être communiquées à l’autorité de contrôle. A l’égard des personnes concernées, une adresse fonctionnelle non nominative peut être communiquée. A l’égard de l’autorité de contrôle, comme indiqué dans le formulaire de communication des coordonnées du délégué disponible sur le site de l’APD,les noms et prénoms du DPO sont à communiquer ainsi qu’une adresse de contact.
Des modalités concrètes de la gestion de l’absence dépendront les formalités à accomplir ou non auprès de l’APD. Si l’absence du DPO est gérée sans désignation d’un nouveau DPO et que l’adresse de contact communiquée à l’APD permet toujours de contacter la personne qui opère le suivi en l’absence du DPO, aucune nouvelle notification ne devra avoir lieu du fait de cette absence.
Si par contre ce n’est pas le cas ou si le DPO doit être remplacé par un nouveau DPO (par exemple compte tenu d’une absence de longue durée), ce remplacement doit être notifié à l’APD. La case « Veuillez cocher cette case si la présente communication concerne une modification d’une précédente » doit alors être cochée.
Compte tenu de l’obligation pour les responsables de traitement et les sous-traitants de communiquer à l’autorité de contrôle les coordonnées de leur délégué, l’Autorité dispose d’une liste de délégués à la protection des données. Cette liste n’est pas destinée au public mais bien à permettre à l’autorité de contrôle de contacter directement le DPO dans l’exercice de ses missions, de contrôle notamment. Le service d’inspection de l’Autorité de protection des données peut par exemple directement poser des questions au DPO ou inviter le DPO pour une audition.