Le G29 apporte des précisions sur les missions du futur délégué à la protection des données personnelles (DPO).
Ce groupe, rassemblant les autorités de protection des données des Etats membres de l’Union européenne vient d’adopter ses lignes directrices relatives à la désignation, aux fonctions et missions du DPO (1).
Ces dernières étaient très attendues, dans la mesure où la nomination d’un DPO sera, selon les cas, obligatoire ou fortement recommandée à compter de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018 (2).
Contrôle du respect du RGPD
Le G29 rappelle la mission principale du DPO qui sera d’assister le responsable du traitement et le sous-traitant afin de veiller au respect du RGPD.
Pour ce faire, il est en charge de recueillir les informations visant à connaître les opérations de traitement et d’apprécier leur conformité au cadre légal. Il doit informer, conseiller et émettre des recommandations au responsable de traitement et au sous-traitant.
Le G29 précise que le DPO ne peut être tenu responsable personnellement en cas de non-conformité au RGPD. C’est effectivement au responsable du traitement qu’il appartient de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer de la conformité des traitements au règlement (3), et c’est par conséquent sur lui que pèse toute responsabilité.
Conseil lors de l’analyse d’impact relative à la protection des données
Selon le G29, à l’occasion de l’analyse d’impact relative à la protection des données qu’effectuera le responsable du traitement, le devoir de conseil du DPO (4) devra porter sur :
- l’opportunité de réaliser de ladite analyse d’impact ;
- la méthodologie à suivre ;
- les modalités de réalisation (en interne ou externalisées) ;
- les mesures de protection, tant techniques qu’organisationnelles, à mettre en œuvre pour limiter les risques aux droits et intérêts des personnes concernées ;
- l’appréciation sur la qualité de réalisation de l’analyse d’impact et sur la conformité de sa conclusion avec le cadre légal.
Si le responsable du traitement est en désaccord avec les conseils délivrés par le DPO, ce dernier devra, au sein de l’analyse, préciser les raisons pour lesquelles il ne les a pas suivis.
Ces missions de conseil devront être clairement définies dans le contrat du DPO et être portées à la connaissance des employés et de toutes les personnes concernées.
Mission d’appréciation des risques
Dans l’accomplissement de ses missions, le RGPD précise que le DPO apprécie les opérations de traitement eu égard aux risques associés à leur nature, portée, contexte et finalités (5). Selon le G29, le DPO est ainsi tenu de prioriser et de porter davantage attention aux traitements à risque élevé.
Le DPO, lors la réalisation de l’analyse d’impact, doit se prononcer sur la méthodologie, les modalités ou encore les mesures de protection eu égard aux risques encourus.
Rôle dans la tenue du registre des activités
Le RGPD indique que c’est le responsable du traitement ou le sous-traitant qui tient le registre des activités de traitement effectuées sous leur responsabilité (6).
Toutefois, tant la pratique que les législations nationales et européennes ont dévolu au DPO la mission d’inventorier les opérations de traitement à partir des informations fournies par les différents services de l’organisme au sein duquel il travaille.
Ainsi, la circonstance selon laquelle le RGPD ne confère pas explicitement cette mission au DPO, ne signifie pas qu’elle ne peut lui être attribuée. Les missions qui lui sont confiées ne correspondent qu’à une liste plancher pouvant être enrichie librement sur le fondement de son devoir de conseil et de sa mission de contrôle du respect du RGPD.
A la lumière de ces lignes directrices, il ne fait nul doute que le DPO a vocation à occuper une place centrale au sein des organismes et entreprises, et qu’il sera doté de moyens et de garanties bien supérieurs à ceux dont les Correspondants Informatique et libertés (Cil) disposent aujourd’hui.
Lexing Alain Bensoussan Avocats
(1) Lire le Post du 2-2-2017
(2) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD
(3) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 24
(4) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 35 et 39
(5) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 39 (2)
(6) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 30