Des mairies à la traine…

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

  • Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

  • Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

  • Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
  • Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
  • Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.
En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.
Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

 

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des analyses d’impact relatives à la vie privée et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

 

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

  • De 2 ans d’expérience dans le domaine de la protection des données
  • Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

 

Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO 

Le Délégué à la Protection des Données peut-être :

  • Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
  • Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.
  • Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).
AVANTAGES PRINCIPAUXAVANTAGES PRINCIPAUX
DPO Interne– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO – Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité. – Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes. – Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.           

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.