Le DPO, au cœur du Règlement Général « Data Protection »

Le DPO, au cœur du Règlement Général « Data Protection »Le cabinet a organisé le 13 juin 2017 avec ITLC un petit-déjeuner consacré au RGPD et au Data Protection Officer (DPO). En partenariat avec Information Technology & Law Club (ITLC), ce petit-déjeuner débat a été l’occasion de présenter le personnage phare de cette réforme, le data Protection Officer (DPO).

DPO : J-365

Le Règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, dont les dispositions seront directement applicables dans tous les Etats membres dès le 25 mai 2018, va profondément modifier les règles applicables à l’environnement digital des entreprises.

Le compte à rebours s’accélère : celles-ci ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Le danger : se voir exposées à des risques d’atteinte à leur réputation et de violation du secret des affaires, en cas d’atteinte à leurs données personnelles mais également à celles de leurs partenaires et clients, sans parler des risques de condamnations civiles et même pénales, si notamment elles se trouvent associées via leur réseau informatique à toute sorte d’actions illégales.

Anticiper l’application du RGPD

Une chose est certaine : les entreprises doivent plus que jamais tout mettre en œuvre pour éviter le détournement de données à caractère personnel et se mettre à l’heure des nouvelles règles applicables, au premier rang desquelles la désignation obligatoire d’un Data Protection Officer (DPO) chargé notamment de veiller à ce que l’ensemble des obligations de conformité aient bien été mises en place à tous les niveaux de l’entreprise.

Pour répondre à vos questions, Alain Bensoussan est intervenu avec Jean-Philippe Rabu, qui est venu présenter à cette occasion la formation « ProDPO » proposée par ITLC en partenariat avec le cabinet Alain Bensoussan Avocats Lexing, permettant d’acquérir les connaissances et le savoir-faire indispensables à l’exercice du métier de DPO.

Le petit-déjeuner débat a eut lieu de 9h15 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le DPO public, obligatoire pour tous les organismes publics

Le DPO public, obligatoire pour tous les organismes publicsLe règlement 2016/679 du 27 avril 2016 rend obligatoire la désignation d’un DPO au sein des organismes publics.

Organismes publics concernés

En effet, le règlement (1) à l’article 37 prévoit que « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : (a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». C’est donc une nouvelle contrainte imposée à tous les organismes publics.

Cependant, le règlement ne définit pas les notions d’ « autorité publique » ou d’ « organisme public ». Le Groupe de travail Article 29 estime que ces notions doivent être interprétées par le droit national ; il reconnaît que ces organismes peuvent exister à plusieurs niveaux :

  • au niveau national ;
  • au niveau régional ;
  • au niveau local.

La seule dérogation prévue par le texte est celle accordée aux juridictions, lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle (1).

Le G29 rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le G29  fait notamment référence aux secteurs tels que les transports publics, la fourniture d’eau et d’électricité, les infrastructures routières, etc. (2).

Le G29 recommande aux personnes privées en charge de missions de service public de désigner un délégué à la protection des données (abrégé en « DPO », acronyme anglais pour « Data Protection Officer »).

Nécessité d’un DPO public

Le DPO public a, entre autres fonctions, celle d’intermédiaire avec les autorités de contrôle et les personnes concernées. Or, lorsqu’un traitement est mis en œuvre par un organisme public, les personnes concernées par le traitement risquent d’avoir peu ou pas de maîtrise sur la façon dont leurs données sont traitées. Le DPO public offre alors à ces personnes un degré supplémentaire de protection.

Possibilité de mutualiser un DPO public

Le règlement prend en compte la spécificité des organismes publics et leur permet de mutualiser un DPO public :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille» (2).

Cette disposition permet à des organismes publics de se regrouper pour désigner leur DPO public. Un exemple parlant est celui des collectivités territoriales, particulièrement celui des communes. Les communes doivent désigner un DPO pour gérer les traitements de données à caractère personnel qu’elles mettent en place. Des communes dans des situations similaires (géographique, économique etc.) mais également compte tenu de leur structure organisationnelle et de leur taille, pourront avoir intérêt à désigner le même DPO, qui sera plus à même de traiter les problématiques spécifiques aux services publics gérés par ces collectivités territoriales.

Mise en conformité

Les organismes publics doivent se mettre en conformité avec le règlement avant le 25 mai 2018 ; pour ces derniers, la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

(1) Règl. (UE) 2016/679 du 27-4-2016, art. 37
(2) Règl. (UE) 2016/679 du 27-4-2016, art. 37




Protection des données en Europe : le rôle du Data Protection Officer

Protection des données en Europe : le rôle du Data Protection OfficerInterviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.




Le délégué à la protection des données, un Cil renforcé

Le délégué à la protection des données, un Cil renforcéLe règlement européen (1) a créé le délégué à la protection des données,  acteur essentiel des données personnelles.

Le Data protection Officer (DPO), traduit dans la version française du règlement en « délégué à la protection des données », se substitue au Correspondant Informatique et libertés (Cil) et se voit doter de compétences élargies.

Tout d’abord, la désignation d’un délégué à la protection des données est impérative, pour le responsable et le sous-traitant dans les situations suivantes (2) :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Force est de constater que certains des critères de désignation visés ci-dessus demeurent flous et requièrent d’être précisés par les autorités de contrôle, et ce avant le 25 mai 2018, date d’application du règlement.

Le rôle qui est confié au délégué à la protection des données prend de l’ampleur notamment dans l’étendue des missions qui lui sont attribuées (3). Ainsi, il sera chargé de :

  • informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
  • contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le large spectre couvert par ses missions explique, alors, l’exigence du degré de compétences requis, puisque le délégué à la protection des données doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données  (4) », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.

Cela n’empêche pas, toutefois, au responsable de traitement ou au sous-traitant de recourir, soit à un membre du personnel, soit de faire appel à un prestataire externe pour l’exercice de cette mission.

Le renforcement des compétences du délégué à la protection des données se traduit également par le fait qu’il constitue désormais une interface de contact auprès de l’autorité de contrôle mais également auprès du responsable de traitement notamment à la suite d’une analyse d’impact pour laquelle il existe un risque de violation de données personnelles (5).

Enfin, l’ensemble des missions confiées au délégué à la protection des données doit pouvoir être exercée en toute indépendance, ainsi, le responsable de traitement et le sous-traitant devront veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions » (6).

Le délégué à la protection des données apparaît comme un des acteurs incontournables du traitement des données à caractère personnel, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Règlement 2016/679 du 27-4-2016, art. 37.
(3) Règlement 2016/679 du 27-4-2016, art. 39.
(4) Règlement 2016/679 du 27-4-2016, art. 37.5.
(5) Règlement 2016/679 du 27-4-2016, art. 36.3.
(6) Règlement 2016/679 du 27-4-2016, art. 38.




Le délégué à la protection des données « CIL » version 2

Le délégué à la protection des données "CIL" version 2La proposition de règlement général sur la protection des données instaure le délégué à la protection des données qui

remplace le correspondant Informatique et libertés. Le délégué à la protection des données est une personne désignée par une entité ou un groupe d’entreprise pour une durée minimale de deux ans et qui doit avoir des connaissances spécialisées de la législation et de la pratique en matière de protection des données.

Le délégué à la protection des données peut être un salarié de l’entité concernée ou peut accomplir ses tâches sur la base d’un contrat de services.

Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dès lors que l’une de ces conditions est remplie :

  • le traitement est effectué par une autorité ou un organisme public ;
  • le traitement est effectué par une entreprise employant plus de 250 personnes ;
  • les activités de base du responsable du traitement ou du sous-traitant en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Lorsque le responsable du traitement ou le sous-traitant ne remplit pas les conditions détaillées ci-dessus, la désignation du délégué à la protection des données est facultative. Le responsable du traitement et le sous-traitant doivent (1) :

  • communiquer le nom du délégué à la protection des données à l’autorité de contrôle ainsi qu’au public ;
  • veiller à ce que le délégué à la protection des données soit associé à toute question relative à la protection des données ;
  • veiller à ce que le délégué puisse exercer ses fonctions en toute indépendance ;
  • aider le délégué à exercer ses fonctions et à lui fournir toutes les ressources nécessaires à sa mission.

Le règlement définit les missions du délégué à la protection des données qui a un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Le délégué à la protection des données doit se voir confier par le responsable du traitement et le sous-traitant au minimum les missions suivantes :

  • informer et conseiller sur les obligations du responsable du traitement et du sous-traitant découlant du règlement et conserve une trace documentaire de cette activité et des réponses reçues ;
  • contrôler la mise en œuvre et l’application des règles internes en matière de protection des données ;
  • contrôler la mise en œuvre de la bonne application du règlement tels que les principes de protection des données dès la conception ;
  • veiller à ce que la documentation du responsable du traitement ou du sous-traitant soit tenue à jour ;
  • contrôler la documentation, la notification et la communication en cas de violation de données à caractère personnel ;
  • vérifier que l’analyse d’impact a été réalisée ;
  • vérifier qu’il a été répondu aux demandes de l’autorité de contrôle ;
  • exercer la fonction de point de contact pour l’autorité de contrôle.

Afin d’anticiper cette réforme, les entreprises pourraient d’ores et déjà désigner un correspondant Informatique et libertés.

Chloé Torres
Lexing Droit Informatique et libertés

(1) Proposition de règlement 2012-0011 (COD) 25-1-2012, art.36, art.37.