En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données personnelles au sein d'une organisation.
La désignation d'un Délégué à la Protection des données est obligatoire pour certaines entités privées[1], ainsi que pour l'ensemble des autorités publiques ou organismes publics (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle)[2]. La fonction de DPO peut-être exercée par un salarié interne de l'entité ou par un DPO externalisé agissant sur la base d'un contrat de service.
Missions
Les principales missions du Délégué à la protection des données sont prévues par les dispositions de l'article 39 du RGPD[3]. Elles consistent à (i) informer et conseiller son organisation sur les obligations lui incombant en vertu des réglementations sur la protection des données personnelles, à (ii) contrôler le bon respect par son organisation des réglementations sur la protection des données personnelles, à (iii) dispenser des conseils en ce qui concerne la réalisation d'analyse d'impact relative à la protection des données[4], à (iv) coopérer avec l'autorité de contrôle, comme la CNIL en France, ainsi qu'à (v) faire office de point de contact entre son organisation et l'autorité de contrôle sur des questions relatives aux traitements de données personnelles mis en œuvre par son organisation.
L'indépendance du Délégué à la Protection des Données est essentielle pour qu'il puisse remplir ses missions correctement. Le RGPD établit des règles pour garantir cette indépendance[5].
Liberté de décision : Le DPO ne doit recevoir aucune instruction sur la manière de mener ses missions. Cela signifie qu'il doit pouvoir décider par lui-même comment gérer un dossier, répondre à une plainte, réaliser un audit interne, ou s'il faut consulter l'autorité de contrôle. Il ne doit pas être influencé pour adopter un certain point de vue sur la législation en matière de protection des données.
Protection contre les sanctions : Le DPO ne doit pas être sanctionné ou licencié pour avoir accompli ses tâches. Par exemple, si le DPO conseille de faire une analyse d'impact et que le responsable n'est pas d'accord, ou si son analyse diffère de celle du responsable, il ne doit pas en subir les conséquences. Cependant, il peut être licencié pour des raisons qui relèvent des règles normales du droit du travail, comme le vol ou le harcèlement.
Rapport direct à la haute direction : Le DPO doit communiquer directement avec les plus hauts niveaux de direction de l'organisation. Cela permet que les décisions soient prises en connaissance des avis et recommandations du DPO. Il est recommandé que le DPO présente un rapport régulier (par exemple, annuel) sur ses activités à la direction. Cette exigence de rapporter à la haute direction ne détermine pas forcément à qui le DPO est rattaché dans l'organisation. Le rapport annuel rédigé par le Délégué à la Protection des Données joue un rôle crucial en tant que moyen de communication. C'est une occasion pour le DPO de diffuser son savoir et son expérience, d'accroître la sensibilisation sur l'importance de la protection des données, et de contribuer à l'instauration d'une culture solide de protection des données dans l'organisation. Ce rapport n'est pas seulement un résumé des actions et des conformités, mais aussi un outil pédagogique pour mettre en avant les enjeux et les meilleures pratiques en matière de protection des données personnelles[6].
La désignation d'un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.
Terminologie
Les professionnels de la protection des données personnelles sont actuellement désignés sous les appellations de Datenschutzbeauftragter en Allemagne, Personuppgiftsombude en Suède, Functionaris voor de gegevensbescherming aux Pays-Bas, Personas datu aizsardzības speciālista en Lituanie, Isikuandmete kaitse eest vastutav isik en Estonie, Chargé de la protection des données au Luxembourg, Préposé à la protection des données en Belgique, Datenschutzberater / conseiller à la protection des données / consulente per la protezione dei dati en Suisse, Rapprezentant ta’data personali à Malte, Belső adatvédelmi fele lős en Hongrie, Dohľad nad ochranou osobných údajov en Slovaquie et Responsable de seguridad en Espagne[7].
Les Délégués à la protection des données sont désignés formellement et officiellement auprès de la Commission nationale de l'informatique et des libertés (CNIL). Leurs coordonnées sont rendues publiques sur la plateforme data.gouv.fr[8].
Le rapport annuel de la CNIL pour l'année 2015[9] indique que 4 321 Correspondants Informatique et Libertés ont été désignés auprès de la Commission par 16 406 responsables de traitement, privés ou publics. Dans son rapport annuel pour 2018 « La CNIL en bref »[10] la CNIL indique que 39 500 organismes ont désigné un Délégué, ce qui représente 16 000 Délégués à la protection des données. Ce nombre devrait dépasser les 21 000 à la fin de l'année 2019.
Dans le cadre du basculement sur les nouvelles règles l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), association qui regroupe en France les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, avait demandé que soit ménagée une « clause de grand-père » qui aurait permis aux « Correspondants Informatique et Libertés » (CIL) qui le souhaitaient et qui répondaient aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour exploiter les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi. Le Secrétaire général de la CNIL, en janvier 2017, déclarait d’ailleurs publiquement lors d’une conférence qui réunissait quatre cents CIL : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».
Désignation selon le RGPD
Avant l'adoption du Règlement Général sur la Protection des Données (RGPD), la désignation d'un Correspondant Informatique et Libertés (CIL)[11] dans les entreprises n'était pas une exigence légale. Cependant, avec l'introduction du RGPD, les entreprises sont encouragées à désigner un Délégué à la Protection des Données (DPO) de manière flexible, y compris de façon non écrite. Le responsable de traitement est tenu de nommer le DPO en accord avec les dispositions du RGPD et doit, en outre, informer rapidement l'autorité de contrôle compétente et rendre publiques les coordonnées du DPO.
Une option notable pour les entreprises, surtout celles opérant à l'échelle de l'Union Européenne, est la possibilité de désigner un DPO unique pour l'ensemble du groupe. Cette approche permet aux entreprises ayant plusieurs filiales ou succursales de bénéficier d'un point de contact centralisé pour toutes les questions de protection des données. Le DPO d'entreprise doit être accessible facilement depuis n'importe quel site de l'entreprise. Cette centralisation offre plusieurs avantages : elle assure une gestion uniforme et cohérente de la protection des données à travers toutes les entités du groupe, facilitant ainsi une meilleure coordination et une efficacité accrue dans le respect du RGPD. De plus, elle simplifie la communication avec l'autorité de contrôle en établissant un point de contact unique pour l'ensemble du groupe, favorisant ainsi une plus grande transparence et sécurité dans le traitement et la gestion des données.
Il est également important de noter qu'une affectation externe du DPO n'est pas toujours nécessaire si l'entreprise dispose d'un employé interne ayant les qualifications requises pour assumer ce rôle. Le choix entre un DPO interne ou externe dépend largement de la taille et de la structure de l'entreprise, ainsi que de la charge de travail envisagée pour le DPO. Chaque entreprise doit évaluer ses besoins spécifiques en matière de protection des données pour déterminer la solution la plus appropriée, en veillant à ce que le DPO choisi dispose des ressources et de l'indépendance nécessaires pour exercer efficacement ses fonctions..
Bénéfices à désigner un délégué à la protection des données
La désignation d’une personne chargée de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente donc plusieurs bénéfices :
Un renforcement de la sécurité juridique : la désignation d’un DPO permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
Un renforcement de la sécurité informatique : le DPO conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
Un vecteur de confiance avec les parties prenantes : la mise en place d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données personnelles.
C'est également la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.
Activités
Fonctions
La fonction de Délégué à la protection des données est définie dans le Règlement général sur la protection des données (RGPD), 2016/679 du 27 avril 2016, principalement par le considérant 97[12] et par sa section 4[13].
La désignation d'un Délégué à la protection des données est obligatoire pour tout organisme répondant à l'un des critères suivants :
l'organisme est une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
les activités de base de l'organisme comportent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
les activités de base de l'organisme comportent des traitements à grande échelle de catégories particulières de données (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d'identification, données concernant la santé, données concernant la vie sexuelle ou l'orientation sexuelle, condamnations pénales, infractions).
Dans les autres cas, les organismes peuvent désigner volontairement un délégué à la protection des données.
Un délégué à la protection des données peut être mutualisé entre plusieurs organismes.
Le Délégué à la protection des données peut être un membre du personnel, ou exercer ses missions sur la base d'un contrat de service.
Missions
Les principales missions du Délégué à la protection des données sont les suivantes (Art. 39[14]) :
Informer et sensibiliser, diffuser une culture « Informatique et Libertés » : le Délégué à la protection des données mène ou pilote des actions visant à sensibiliser la direction et les collaborateurs aux règles à respecter en matière de protection des données à caractère personnel ;
Veiller au respect du cadre légal : le Délégué à la protection des données veille en toute indépendance au respect du Règlement européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres et des règles internes de son organisme en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement. Il est, notamment, étroitement associé aux sujets suivants : EIVP (Étude d’impact sur la vie privée), « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception) et notification des violations de données et communication aux personnes concernées. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement.
Informer et responsabiliser, alerter si besoin, son responsable de traitement : le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPD).
Analyser, investiguer, auditer, contrôler : le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
Établir et maintenir une documentation au titre de « l’Accountability » : le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle.
Assurer la médiation avec les personnes concernées : le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
Interagir avec l’autorité de contrôle : le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36[15] du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.
Profils
Les actuels Délégués à la protection des données sont de profils très hétérogènes.
Une étude réalisée à la demande de la CNIL à l’occasion du dixième anniversaire du métier de correspondant informatique et libertés, en octobre 2015, montrait que 47 % des praticiens étaient de formation technique (informatique), suivis par les personnes de formation juridique[16]. Une étude similaire, menée en 2012 par l’AFCDP, montrait que le reste des CIL avaient suivi des études initiales en qualité, en gestion des risques, en contrôle de gestion, en gestion de ressources humaines.
Cette diversité perdure au sein des DPO, puisque l'enquête menée en 2019 par la Délégation générale à l'Emploi et à la Formation professionnelle (DGEFIP) montre une répartition équilibrée entre les profils juridiques (31,1%), informatiques (34,9%) et autres (34%)[17]. Cette diversité se retrouve dans différents secteurs, avec une progression du profil juridique comme le confirment les enquêtes réalisées entre 2011 et 2019[18] par le réseau SupDPO : en 2019, il était composé de 38% de DPO à profil juridique, et 41% de DPO à profil informatique.
Cette étude a été renouvelée en 2022, présentant une mise à jour des données et mettant en évidence une augmentation de la part de DPO employés par des petites structures (moins de 50 salariés, ou moins de 10 000 personnes à gérer)[19].
Bien que ce ne soit pas obligatoire, il existe des certifications pour devenir DPO. La CNIL a adopté le 20 septembre 2018 deux référentiels[20] en matière de certification des compétences du délégué à la protection des données :
Un référentiel de certification, fixant les conditions de recevabilité des candidatures et une liste de 17 compétences et savoir-faire attendus pour être certifié DPO.
Un référentiel d'agrément, fixant les critères applicables aux organismes qui souhaitent être habilités par la CNIL, à certifier les compétences du DPO sur la base du référentiel de certification.
Des formations de l'enseignement supérieur sont également consacrées au métier[21], tels que des mastères spécialisés et diplômes universitaires[22].
Salaires
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP (International Association of Privacy Professionals) indique que les professionnels américains de la protection de la vie privée gagnent plus de 300 000 $ par an pour 1 % d’entre eux, entre 200 000 $ et 300 000 $ par an pour 5 % d’entre eux, entre 150 000 $ et 200 000 $ pour 13 % et entre 100 000 $ et 150 000 $ pour 37 %[23].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » de l’IAPP Canada, indique qu’un professionnel canadien de la protection de la vie privée gagne entre 100 000 $ et 200 000 $ par an dans le secteur privé (auxquels s’ajoutent les bonus), et entre 75 000 $ et 150 000 $ par an dans le secteur public[24].
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2010 » de l’IAPP Europe, indique que les professionnels européens de la protection de la vie privée gagnent entre 150 000 $ et 200 000 $ par an pour 9 % d’entre eux, entre 100 000 $ et 150 000 $ pour 26 % et entre 50 000 $ et 100 000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stock options et 60 % des bonus[25].
Selon l’étude que l’AFCDP a réalisée en 2012, le salaire moyen d’un CIL était de 47 000 € brut par an.
Évolutions principales par rapport au correspondant informatique et libertés
Le Délégué à la protection des données étant une évolution du détaché à la protection des données à caractère personnel de la directive 95/46/CE, de nombreuses caractéristiques sont conservées, comme son indépendance, la possibilité de réaliser les missions en temps partiel, le fait qu’il doive rester à l’abri des conflits d’intérêt, son rattachement le plus direct possible au responsable de traitement ou à l’organe de décision, son rôle d’interface avec la CNIL, son absence de responsabilité personnelle. Il est probable également que le Délégué à la protection des données poursuive les tâches du CIL : élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés de formalisme, élaboration d’une politique de protection des données à caractère personnel, sensibilisation des personnels aux dispositions de la loi, élaboration et le contrôle de l’application de codes de conduite spécifique.
Les évolutions principales du délégué à la protection des données par rapport au correspondant informatique et libertés actuelles sont :
De facultatif, le Délégué devient obligatoire dans plusieurs cas ;
Les sous-traitants, s’ils répondent aux critères, seront également dans l’obligation d’en désigner un ;
Les coordonnées du Délégué seront rendues publiques ;
Les groupes d’entreprises auront plus de facilité pour désigner un Délégué à la protection des données qui leur sera commun ;
Les responsables de traitement auront totale liberté pour désigner un Délégué externe à l’organisme, alors que cette possibilité n’était offerte qu’aux organismes dont moins de cinquante collaborateurs ont accès aux données (les DPO externes doivent souscrire une assurance responsabilité civile professionnelle).
D’autres évolutions ne sont pas explicitement citées dans le règlement mais découlent de ses dispositions. Ainsi, le Délégué à la protection des données :
veille à ce que des analyses de risques et des études d’impact pour les personnes concernées soient réalisées et mises à jour régulièrement concernant les traitements les plus sensibles ;
assure la nouvelle obligation d’Accountability prévue par le règlement général sur les données, qui nécessite d’apporter les preuves de la conformité, en produisant à l’autorité de contrôle, à la demande de cette dernière, des éléments de preuve (documentation, procédures et processus, plan de contrôle interne, recensement des risques, résultats d’audits et de mesures correctrices prises à leur suite, etc.) ;
fait en sorte que l’organisme notifie à la CNIL quand cela est nécessaire les violations aux traitements de données à caractère personnel, voire communique envers les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
En 2024, la Directive sur la sécurité des réseaux et de l'information 2 (NIS 2)[26] pourrait transformer significativement le rôle et les responsabilités du Délégué à la Protection des Données (DPO), ainsi que son interaction avec les questions de sécurité. Cette directive élargit de manière substantielle le champ d'application par rapport à la directive NIS 1, en termes de secteurs et de tailles d'organisations concernées[27].
Sous la directive NIS 1, six secteurs d'activité étaient régulés. En revanche, avec NIS 2, le nombre de secteurs concernés passe à vingt-trois. Cette expansion signifie qu'un plus grand nombre d'organisations seront tenues de se conformer aux exigences de sécurité, ce qui entraîne une augmentation du nombre de DPO devant gérer ces nouvelles contraintes légales de sécurité.
De plus, la directive NIS 2 étend son champ d'application au-delà des grandes entreprises et des administrations centrales pour inclure également les petites et moyennes entreprises (PME), les entreprises de taille intermédiaire (ETI) et toutes les collectivités territoriales. Cette évolution marque un changement significatif, car elle impose des responsabilités de sécurité informatique et de protection des données à un éventail beaucoup plus large d'entités, transformant ainsi la fonction de DPO et intensifiant son implication dans les questions de sécurité informatique à tous les niveaux des organisations.
Sanctions en cas de transgression du RGPD
Jusqu’à présent, une amende maximale de 50 000 euros a été infligée pour défaut intentionnel ou négligent de désigner un délégué à la protection des données. À partir du 25 mai 2018, l’amende augmentera à 2 % du chiffre d’affaires annuel global jusqu’à 10 millions d’euros. L’autorité de surveillance se réserve le droit d’imposer une amende plus élevée. Les délégués à la protection des données doivent démontrer des qualifications différentes et être prêts à s'adapter aux changements dans les technologies de l'information. La formation continue et l'expertise juridique sont essentielles. Les personnes qui ne font pas partie du conseil de surveillance ou de la direction de la société sont des délégués à la protection des données. Même si la combinaison est autorisée, cette constellation peut entraîner des biais et entraver le respect du règlement de base sur la protection des données.
Les agences d’évaluation du crédit et les sociétés de traitement des données doivent, avec l’entrée en vigueur des OVDS de l’UE, être soumises au contrôle d’un Délégué à la protection des données, garantissant ainsi l’intégrité et la compétence de leur gestion des données. Le non-respect de cette obligation entraînera des amendes importantes pour l’entreprise concernée.
Le RGPD apporte de nouvelles exigences relatives au licenciement et à la cessation d’emploi d’un Délégué à la protection des données pour les autorités publiques et organismes privés. Les DPO font l'objet d'une protection spéciale contre le licenciement, le devoir de confidentialité et le droit de refuser de témoigner.
En ce qui concerne la responsabilité du DPO, il est essentiel de comprendre que le RGPD établit clairement que c'est le responsable du traitement des données, et non le DPO, qui est tenu de s'assurer et de démontrer que le traitement est conforme au règlement. De même, le sous-traitant est responsable de respecter ses obligations spécifiques énoncées par le RGPD. Par conséquent, la responsabilité ne peut être attribuée au DPO, étant donné que cela impliquerait qu'il ait un contrôle décisionnel sur les objectifs et les moyens de traitement des données, ce qui constituerait un conflit d'intérêts contraire aux principes du RGPD.
Bibliographie
Le Data Protection Officer. Une nouvelle fonction dans l'entreprise, Bruxelles, éditions Bruylant, collection Minilex, 3e édition, 2020.
Collectif, Correspondant Informatique et Libertés : bien plus qu'un métier, édition AFCDP, Paris, 2015, 574 p. (ISBN978-2-9552430-0-8)
Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés, éditions Lexis Nexis, collection « Droit & Professionnels », 2013, 374 p. (ISBN978-2711018864)