Précisions apportées par le G29 sur la désignation du DPO

Anticiper le règlement en éclaircissant la désignation d’un DPO, telle est la tâche du G29 et de ses lignes directrices.

Suite à la consultation publique sur le règlement européen sur la protection des données (RGDP) en juin 2016, le groupe de travail de l’article 29 (G29) a adopté des lignes directrices (1) et des Faq (2) sur différentes thématiques et notamment sur le délégué à la protection des données (DPO).

Ces documents ont pour vocation :

• d’aider et d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué à la protection des données ;
• de seconder les futurs délégués à la protection des données dans la réalisation de leur mission.

Rôle du DPO

Le DPO sera au cœur du niveau cadre légal dans la mesure où son rôle sera de faciliter la conformité avec les dispositions du règlement européen. Le DPO deviendra un avantage compétitif important et se placera comme un intermédiaire facilitant les relations entre les différents acteurs.

Il demeure l’acteur qui contrôle le respect des dispositions du règlement.

Désignation obligatoire du DPO

Le groupe de travail rappelle les cas dans lesquels la désignation d’un DPO chez un responsable du traitement ou un sous-traitant est obligatoire. Le G29 souligne néanmoins qu’en dehors de ces cas, il peut être opportun de désigner volontairement un DPO, ce qu’il encourage. Dans ce cas, les mêmes obligations viennent à s’appliquer.

Dans le cas où un DPO est désigné à la fois chez un responsable du traitement et son sous-traitant, les deux délégués sont alors appelés à coopérer.

Le G29 rappelle que les coordonnées du DPO doivent être facilement accessibles afin que ce dernier puisse effectivement échanger avec les personnes concernées et l’autorité de contrôle, et ce dans la ou leurs langues.

Les cas dans lesquels la désignation d’un DPO est obligatoire sont les suivants (3) :

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Aussi plusieurs critères doivent être remplis dans chacune des situations et deux de ces critères à savoir « les activités de base » et à « grande échelle » apparaissent dans plusieurs situations.

Le G29 repart alors des termes employés par l’article 37 1 a), b) et c) du règlement européen, afin d’éclaircir les différentes situations dans lesquelles un DPO est obligatoire, et en apporte une nouvelle lecture extensive.

Autorité publique ou organisme public

Ces notions d’autorité publique ou d’organisme public renvoient uniquement à l’article 37 1 a) du règlement.

Ces notions ne sont pas définies dans le règlement européen. Aussi, le G29 indique que ces définitions reviennent à chaque Etat-membre, dans la mesure où s’il est évident que le concept d’autorité publique inclut nécessairement les autorités nationales, régionales et locales, d’autres organismes ou entreprises publics sont également concernés et sont, quant à eux définis par le droit national.

De plus, le G29 appelle de ses vœux que :

• les organisations privées en charge d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique désignent également un DPO ;
• le DPO nommé par une autorité publique ou un organisme public intègre également dans son activité les traitements qui n’ont pas un lien direct avec la mission d’intérêt public ou l’exercice de l’autorité publique, comme la gestion d’une base de données des salariés.

Activités de base

Ce critère des « activités de base » du responsable du traitement ou du sous-traitant est repris à la fois dans l’article 37 1 b) et dans l’article 37 1 c) du règlement européen.

Le G29 souligne que le considérant 97 du règlement européen définit les activités de base comme : « les activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire ». Aussi, le G29 considère que ces activités de base sont les opérations clés afin que le responsable du traitement ou le sous-traitant atteignent leurs objectifs, tout en incluant les activités sans lesquelles ces activités principales ne pourraient pas être réalisées.

Le G29 prend alors deux exemples, celui d’un hôpital et d’une société de sécurité effectuant la surveillance d’un certain nombre de centres commerciaux et d’espaces publics.
Pour l’hôpital, son activité principale est de délivrer des soins de santé. Pour cela il doit traiter des données de santé. Aussi, le traitement de ces données de santé doit être considéré comme l’une des activités principales de tout hôpital. Les hôpitaux doivent par conséquent désigner un DPO.

Pour la société de sécurité effectuant la surveillance d’un certain nombre de centres commerciaux et d’espaces publics, son activité principale est la sécurité qui est inextricablement liée au traitement de données à caractère personnel qu’elle effectue. Aussi, pour le G29, cette société doit également désigner un DPO.

Par ailleurs, le G29 précise que les fonctions support communes à toute entreprise, comme la paie de ses salariés, qui sont des activités nécessaires ou essentielles pour l’organisation de l’activité principale, sont généralement considérées comme des activités auxiliaires plutôt que principales.

Grande échelle

Ce critère à « grande échelle » est repris, tout comme le critère précédent à la fois dans l’article 37 1 b) et dans l’article 37 1 c) du règlement européen.

Le G29 mentionne que la notion de « grande échelle » n’est pas définie dans le règlement européen mais que le considérant 91 donne certaines orientations. Aussi, s’il n’est pas aujourd’hui possible de fixer un seuil quant au volume de données traitées ou au nombre de personnes concernées, le G29 souligne que cela pourrait être possible ultérieurement. Aussi une pratique standard pourrait se développer et définir ce que l’on entend d’un point de vue qualitatif et quantitatif eu égard aux traitements classiques. A ce titre, le G29 souhaite contribuer à définir cette notion et partagera et publiera des exemples des seuils pertinent pour désigner un DPO.

Le G29 donne des grands axes afin de s’interroger sur ce qui doit être considéré comme « à grande échelle » :

• le nombre de personnes concernées, que cela soit un nombre précis ou une partie de la population considérée ;
• le volume de données et/ou un éventail de différents types de données traitées ;
  la durée ou la permanence du traitement ;
• le périmètre géographique du traitement.

Le G29 propose des exemples de traitement pouvant être considérés comme à grande échelle. Tel est notamment le cas de la géolocalisation en temps réel de clients d’un fast food mondialement implanté à des fins statistiques réalisées par un sous-traitant spécialisé dans ce domaine, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…

En revanche, le traitement des données de clients relatives à leurs condamnations ou infractions mis en œuvre par un cabinet d’avocat ne peut pas être considéré comme étant un traitement à grande échelle, tout comme le traitement de données de patients mis en œuvre par un médecin individuel.

Suivi régulier et systématique

Ce critère de « suivi régulier et systématique », quant à lui n’est repris que dans l’article 37 1 b) du règlement européen.

Si cette notion n’est pas non plus définie dans le règlement européen, le G29 indique que le considérant 24 mentionne « le suivi du comportement des personnes concernées » qui inclut clairement toute forme de tracking et de profilage sur internet y compris pour des publicités comportementales. Cependant, le G29 précise que ce suivi n’est pas uniquement limité à être effectué en ligne mais qu’il n’est qu’un exemple de la possibilité de suivre le comportement des personnes concernées.

Pour le G29, le terme « régulier » signifie l’un ou plusieurs de ces éléments :

• en cours ou intervenant à intervalles réguliers pour une période déterminée ;
• récurrent ou se répétant à une période définie ;
• constant ou survenant périodiquement.

De même, le G29 considère que le terme « systématique » signifie l’un ou plusieurs de ces éléments :

• survenant conformément à un système ;
• prédéterminé, organisé ou méthodique ;
• ayant lieu dans un cadre général de collecte de données ;
• mené dans le cadre d’une stratégie.

Le G29 liste des exemples d’activités proposant un suivi régulier et systématique. Tel est notamment le cas pour exploiter un réseau de télécommunication, fournir des services de télécommunications, un programme de fidélité, la publicité comportementale, le suivi du bien-être, les objets connectés comme les compteurs ou les voitures intelligents, la domotique…
Catégories particulières de données et données relatives à des condamnations pénales et à des infractions

Ce critère de « catégories particulières de données et données relatives à des condamnations pénales et à des infractions » n’est repris que dans l’article 37 1 c).

Le G29 précise que même si l’article 37 1 c) indique que le traitement contient des données de catégories particulières ainsi que des données relatives à des condamnations et à des infractions, la présence de ces deux catégories de données dans le traitement n’est pas cumulative mais bien distincte.

Recommandations du G29

Dans ses lignes directrices, le G29 conseille aux responsables de traitement et aux sous-traitants de formaliser par écrit le raisonnement qu’ils ont suivi pour conclure à la désignation ou non d’un DPO afin de prouver que tous les éléments importants ont bien été pris en compte.

Le G29 rappelle que si l’entreprise n’a pas l’obligation de désigner un DPO et n’en désigne pas un volontairement, elle peut néanmoins faire appel à un tiers pour gérer la protection de ses données à caractère personnel. Néanmoins, le G29 insiste sur le fait que ce tiers doit clairement être identifié comme n’étant pas le DPO de l’entreprise.

Les lignes directrices du G29 apportent des indications importantes quant aux entreprises et organismes appelés à désigner de manière obligatoire un DPO, lorsque les critères des différentes situations de l’article 37 1 a), b) ou c) du règlement européen sont réunis, et à encourager les autres à en faire autant.

Ces lignes directrices peuvent être commentées d’ici fin janvier 2017 par tout acteur économique ou de la société civile.

Lexing Alain Bensoussan Avocats
Lexing Droit Informatique et libertés

(1) G29, Lignes directrices du 13-12-2016
(2) G29, FAQ sur le DPO
(3) Règlement UE 2016/679 du 27-4-2016, art. 37 1 a), b) et c)