De nombreuses entreprises envisagent ou cherchent à recruter un délégué à la protection des données (Data Protection Officer – DPO) dans le cadre de leur mise en conformité avec la directive sur la protection des données. Une idée fausse courante est que seules les entreprises comptant au moins 250 employés en auraient besoin. Ce sont là des faits dépassés (et potentiellement dommageables). Soyez prudents et vérifiez toutes les informations que vous obtenez – et supposez que votre entreprise a également besoin d’un DPO !
Qui est ce DPO ?
En résumé, le DPO contrôle la conformité de l’organisation avec le RGPD. Plus en détail, le DPO :
- Travaille de manière transversale ;
- Examine les politiques et les pratiques de l’entreprise ; effectue des audits internes ;
- Participe à toutes les questions relatives à la protection des données à caractère personnel et fournit des conseils à ce sujet ;
- Rend compte aux plus hauts niveaux de la direction ;
- Est le contact officiel de l’organisation pour coopérer avec l’autorité de protection des données.
En tant que sui generis au sein de l’organisation, le DPO bénéficie de droits et de protections spécifiques pour exécuter correctement ses tâches. Il ne peut recevoir d’instructions de la direction sur la manière d’exercer ses tâches et ne peut être licencié ou sanctionné pour ce faire. Cette disposition est délibérément peu pratique pour les entreprises qui cherchent à interpréter le règlement de manière un peu plus “pragmatique”.
Un luxe obligatoire ?
Compte tenu du peu de temps qu’il reste pour se mettre en conformité, il y a un manque surprenant de méthodes de certification officielles pour les DPO. Alors que de nombreuses organisations proposent des cours accélérés, sachez qu’aucune d’entre elles n’a encore reçu de statut de certification par les organismes officiels de certification. En règle générale, l’expérience et la connaissance du droit applicable, de la sécurité des données et du conseil en organisation devraient constituer les caractéristiques fondamentales d’un bon DPO.
Malgré cette absence présumée de DPO certifiés, il ne devrait pas être un luxe de consulter un DPO de nos jours. Dans la plupart des secteurs, la bonne gouvernance des données personnelles est un facteur de succès ou d’échec. Ces “accords” sont quelque peu pimentés par le RGPD – comme vous l’avez peut-être déjà deviné. Nous savons que la nomination d’un DPO sera un facteur de pondération important pour les autorités de protection des données (DPA), lorsqu’elles vérifieront la conformité de la RGPD. En outre, les DPA du Royaume-Uni (ICO), des Pays-Bas (AP) et du Canada (OPC) travaillent actuellement à la mise en place d’un cadre international de coopération pour l’application[1] de la RGPD. Une bonne compréhension et une bonne adhésion sont clairement recommandables.
Vous vous demandez peut-être pourquoi le Canada et le Royaume-Uni, en tant que (futur) États non membres de l’UE, se donnent la peine de consacrer des ressources à l’application du règlement européen sur les données. Rappelez-vous simplement que la RGPD ne concerne pas seulement les entreprises ayant un établissement dans l’Union européenne, mais toute entreprise, où qu’elle soit basée dans le monde – pour autant qu’elle soit impliquée d’une manière ou d’une autre dans le traitement des données des personnes concernées dans l’Union européenne. Ce champ d’application pourrait potentiellement inclure n’importe quelle organisation, alors donnons une image claire de ce que cela signifie en pratique.
Ambiguïté et lignes directrices
Malheureusement, cela a été plus facile à dire qu’à faire. Le texte le plus simple sur les DPO se trouve dans les articles 37 à 39. Dans certaines juridictions nationales, la désignation d’un DPO était déjà obligatoire avant le RGPD. Dans le RGPD, le faire est une nécessité absolue, à l’échelle européenne et internationale, si les conditions relatives aux droits sont remplies. Le RGPD est quelque peu vague sur ces conditions et davantage d’orientations étaient nécessaires pour traduire l’esprit de la loi en une interprétation plus pratique. Deux questions ressortent spécifiquement, toutes deux se référant à l’article 37, paragraphe 1, point b)
- Qu’entend-on par surveillance des personnes concernées dans le cadre des “activités principales” d’une entreprise ?
- Comment devons-nous interpréter ce suivi des personnes concernées “à grande échelle” ?
Le WP29[2] a reconnu cette ambiguïté et a publié des lignes directrices supplémentaires en avril 2017. Ses trois directions :
- La désignation d’un DPO est considérée comme une bonne pratique et est encouragée, même lorsqu’elle n’est pas requise ;
- La désignation d’un DPO est obligatoire lorsque le traitement des données fait partie de l’activité principale d’une entreprise ;
- Si une entreprise a besoin d’un traitement de données à caractère personnel pour atteindre ses objectifs principaux, ce traitement est considéré comme une activité essentielle.
Formulons maintenant une réponse à nos questions, en utilisant le cas de PharmXample.
Affaire : PharmXample
PharmXample est une société pharmaceutique qui se concentre sur la fabrication, la commercialisation et la vente de médicaments génériques dans toute l’Europe et en Afrique du Sud. Diriez-vous que l’une des activités principales de PharmXample est le traitement de données à caractère personnel ? Probablement pas. Cependant, l’une de ses activités principales est le marketing et la vente de ses innovations. Pour ce faire, les représentants de PharmXample ont besoin d’accéder aux données des médecins et de les utiliser. Bien que ces données soient de nature B2B, elles permettent d’identifier des personnes physiques et entrent donc dans le champ d’application du RGPD. Sans ces activités, PharmXample ne serait pas en mesure de se maintenir. Le traitement des données personnelles est donc inextricablement lié à l’une des activités principales de PharmXample, et un DPO est nécessaire.
En ce qui concerne la “grande échelle” : le GT29 prend note de l’attente selon laquelle, avec le temps, une pratique standard pourrait se développer lorsqu’il s’agira de déterminer ce qu’elle entend exactement. Pour l’instant, les entreprises sont laissées à elles-mêmes pour déterminer ce qu’elles entendent par “grande échelle”. Il est donc risqué de penser que vous êtes du côté de la sécurité. Gardez à l’esprit les lignes directrices et réalisez que, lors d’un audit, la logique de la RGPD exige que vous prouviez que vous êtes explicitement exempté, et non l’inverse.
Désigner un DPO
Vous avez donc décidé qu’il serait judicieux de faire appel à un DPO, comment vous y prendriez-vous ? Vous pouvez choisir soit d’engager votre propre DPO à plein temps, soit d’en engager un à l’extérieur en fonction de votre budget, de vos besoins et du contexte. À l’heure actuelle, il n’existe pas (encore) de directives claires sur la manière de reconnaître un DPO qualifié – en dehors des références et de l’expérience.
Nous espérons qu’à partir de 2018, les certifications officielles des DPO seront plus claires. Nous pensons que la question ne devrait pas être de savoir si un DPO doit être conforme ; en tout état de cause, le DPO offre une formidable opportunité de préparer l’avenir – où la gouvernance stratégique, durable et responsable des données personnelles détermine le succès à long terme.
[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacytoezichthouders-wereldwijd-versterken-samenwerking-bij-handhaving
[2] https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party
