Le titre de Data Privacy Officer (DPO) est sans nul doute celui qui est le plus couramment utilisé pour désigner la personne responsable d'organiser les mesures de protection des données personnelles au sein d'une entreprise.
La version française du Règlement européen sur la protection des données (RGPD) parle de Délégué à la Protection des Données (DPD).
Le droit suisse prévoit le terme de Conseiller à la protection des données personnelles.
Dans tous les cas, il s’agit bien du même rôle, que je continuerai d'appeler DPO.
Lorsque que la question est ainsi formulée, la réponse attendue penche invariablement vers la négative. Après tout, nous avons bien vécu sans lui ou elle jusqu'à ce jour... et les budgets ne sont pas extensibles. Pourquoi donc aurions-nous besoin d'un salaire improductif supplémentaire ?
Ce d'autant plus que la loi suisse, tant actuelle que son projet de révision, ne fait pas grande promotion de ce rôle. En effet, aucun traitement de données personnelles n'oblige un responsable de traitement privé, ni ses sous-traitants par ailleurs, à nommer un DPO.
L'unique avantage conféré au responsable de traitement qui en aurait volontairement désigné un se résume à pouvoir se prévaloir de ne pas consulter le Préposé fédéral si une analyse d'impact relative à la protection des données révélait qu'un traitement envisagé présente un risque élevé (P-LPD Art 9 al 2).
Vous conviendrez sans doute avec moi qu'il y a des approches plus motivantes pour inciter un entrepreneur à créer un tel poste.
Nous verrons plus loin en quoi le RGPD européen diffère de ce minimalisme législatif helvétique.
Si l'exigence de conformité ne semble donc pas être le vecteur le plus puissant pour justifier un rôle de DPO, envisageons le cas pratique d'une entreprise de taille moyenne dont l'activité de base consiste à fournir des services d'analyse de sites internet, d'assistance à la publicité et au marketing ciblé.
Si elle entend se présenter vis à vis de ses clients en tant qu'acteur crédible de son secteur d'activité, respectivement leur offrir une prestation au moins équivalente à celle proposée par ses concurrents étrangers, quels sont ses devoirs en matière de protection des données ?
Tant du point de vue de son image que pour des aspects purement pratiques, cette entreprise va devoir être capable de démontrer que:
1. Ses dirigeants et les personnes clés de l'organisation sont bien conscientes des impacts liés à la protection des données personnelles
2. Un inventaire des différentes catégories de données personnelles traitées est disponible, conforme et tenu à jour
3. Les politiques et déclarations de confidentialité sont en phase tant avec les exigences légales qu'avec les processus en vigueur au sein de l’entreprise
4. Les droits individuels des personnes physiques sont respectés et peuvent être exercés facilement ;
5. Les bases légales des traitements réalisés ont été identifiées, vérifiées et documentées
6. Si le consentement est utilisé en tant que base légale, la manière de l'obtenir et de le gérer est conforme aux exigences en la matière
7. Si traitées, des données personnelles de personnes vulnérables (mineurs par exemple) sont obtenues sous le consentement d'un tiers autorisé
8. Un processus permettant la détection, la notification et la gestion des violations de sécurité est établi et régulièrement testé
9. Les pratiques de protection des données personnelles dès la conception et par défaut sont comprises et appliquées par l'ensemble des acteurs concernés
10. Les rôles et responsabilités en matière de protection de l'information sont clairement définis
11. Les transferts de données personnelles dans d'autres pays respectent les exigences légales en la matière.
Si cette entreprise pense être capable d'assumer l'ensemble de ces tâches sans avoir à désigner une personne compétente pour les mener, alors elle n’a effectivement pas besoin d’un DPO… Dans le cas contraire, elle pourrait être bien avisée d'en nommer un !
Contrairement au droit suisse, le RGPD, à son article 37, définit trois cas de figure dans lesquels le DPO est obligatoire :
- Lorsque le traitement est effectué par une autorité publique;
- Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier, systématique et à grande échelle des personnes concernées;
ou
- Lorsque leurs activités de base portent sur des traitements à grande échelle de catégories particulières de données ou relatives à des condamnations pénales et à des infractions.
Au-delà de ces obligations, il est également possible, voire recommandé, de désigner un DPO sur une base volontaire.
A noter que dans ce cas l'ensemble des conditions prévues aux articles 37 à 39 s'appliquent, comme si la désignation avait été obligatoire.
Ceci est notamment valable pour la publication des coordonnées du DPO tant à l'interne qu'à l'externe de l'entreprise ainsi qu'auprès de l'autorité de contrôle.
Les onze points cités précédemment sont en fait la synthèse des activités visant à contrôler le respect du RGPD, ce qui est la mission du DPO.
Ce n'est pas forcément à lui de les réaliser personnellement mais il lui incombe d'agir en tant intermédiaire entre les parties prenantes que sont les autorités de contrôle, les personnes concernées et les responsables des différents départements au sein de l'entreprise.
C'est en quelque sorte un chef d'orchestre chargé de mettre en musique une partition que l'on espère voire jouée à l'unisson.
Contrairement à une croyance largement répandue, le DPO n'est pas responsable personnellement en cas de non-respect du RGPD. Cette responsabilité relève du responsable de traitement ou du sous-traitant.
Le DPO a pour devoir de les assister et les conseiller sur toutes les questions relatives à la protection des données à caractère personnel. Pour ce faire, il doit disposer des ressources suivantes :
- Un niveau d'expertise proportionnel à la sensibilité, la complexité et au volume des données traitées ;
- Des connaissances spécialisées du droit et des pratiques en matière de protection des données (mesures techniques et organisationnelles) ;
- L'expérience dans le secteur d'activité du responsable de traitement ;
- Un haut niveau d'intégrité et de déontologie ;
- Un degré suffisant d'autonomie ainsi que la possibilité d'exercer sa fonction en toute indépendance ;
L'absence de conflit d'intérêts est étroitement liée à l'obligation d'agir en toute indépendance.
Les entreprises qui désignent un DPO ont tendance à vouloir ajouter ce rôle à une fonction existante.
Il faut toutefois veiller à ce que celle-ci ne soit pas amenée à déterminer les finalités et moyens d'un traitement de données à caractère personnel. Ce qui a concrètement pour effet d'éliminer bon nombre de fonctions d'encadrement supérieur, telles que directeur général, opérationnel, financier, marketing, ressources humaines ou encore IT.
Le rôle attendu du DPO en matière d'analyses d'impact est de conseiller le responsable de traitement ou le sous-traitant sur les questions de savoir s'il convient ou non de procéder à une analyse d'impact, sur la méthodologie à suivre, à se prononcer sur les mesures techniques et organisationnelles à appliquer ainsi qu'à évaluer si l'analyse a été réalisée correctement.
Toutefois, dans la pratique, le DPO joue un rôle plus actif que ce que la loi ne l'exige. Sans son implication concrète dans leur réalisation, peu d'analyses d'impact seraient conduites.
C'est en outre une bonne occasion pour lui d'apporter de la valeur au sein de l'entreprise. Ses compétences tant juridiques que techniques font de lui un interlocuteur à même de trouver des solutions pour que le traitement envisagé soit réalisé en conformité et permet ainsi d'éviter de coûteuses erreurs de conception.
Dans le meilleur des mondes, le responsable de traitement suivra les conclusions et recommandations du DPO. Si tel ne devait pas être le cas, le DPO veillera à consigner la raison pour laquelle son avis n'a pas été pris en considération.
Une des tâches les plus difficiles à concrétiser est certainement celle qui consiste à être associé le plus tôt possible à toutes les questions relatives à la protection des données.
Pour y parvenir, le DPO doit être considéré comme un interlocuteur au sein de l'entreprise et être membre des groupes de travail consacrés aux activités de traitement de données.
Si l'entreprise n'a pas intégré cet aspect de gouvernance, respectivement si le programme de protection de l'information n'est pas rentré dans la culture de l'entreprise, il sera compliqué pour le DPO d'être impliqué dans les décisions.
De mon point de vue, c'est sur la personnalité du DPO et sa capacité à communiquer simplement sur des sujets complexes que se joue la différence.
Certains pourront se contenter d'un simple suivi des exigences légales, de la tenue rigoureuse des registres, de prises de position en matière d'analyses d'impact et d'un traitement occasionnel des demandes d'accès.
D'autres à l'inverse sauront mettre à profit le positionnement privilégié de ce rôle pour être :
- un acteur impliqué dans le programme de protection de l'information au sens large;
- un moteur du changement pour des pratiques plus respectueuses de la vie privé des clients et collaborateurs ;
- un conseiller respecté pour ses connaissances de spécialiste et écouté grâce à son expérience du monde de l'entreprise.
Cette fonction peut faire l'objet d'un mandat externe. Ceci est expressément prévu par le RGPD.
Il y a certains avantages à le faire, notamment pour les entreprises de taille moyennes ou petites. Les questions d'autonomie, d'indépendance et d'absence de conflits d'intérêts peuvent ainsi se résoudre plus facilement qu'à l'interne.
D'autre part, le recours à un professionnel est un choix moins risqué pour le responsable de traitement que celui de confier cette tâche additionnelle à une fonction existante.
Néanmoins, si l'option du DPO externe est retenue, il est important de bien formaliser le mandat de service en définissant précisément les tâches et responsabilités de la personne désignée.
Activité de base: Prenons le cas d’un hôpital : Son activité de base est de soigner des patients. Mais il ne peut fournir des soins sans traiter les dossiers médicaux. Par conséquent, le traitement de ces données fait partie des activités de base et requière la désignation d'un DPO.
Sous-traitant: L'article 37 RGPD s'applique à la fois aux responsables du traitement et aux sous-traitants. Pour illustrer ce cas de figure, le prestataire de sites internet mentionné précédemment est un exemple concret d'une telle obligation pour un sous-traitant de nommer un DPO.
Systématique et à grande échelle: S'il n'est pas possible de donner un chiffre précis en termes de quantité de données traitées ou de nombre d'individus concernés, il est recommandé de considérer le volume, le spectre, la durée ou la permanence des activités de traitement ainsi que l'étendue géographique des traitements.
Si nous reprenons l'exemple de l'hôpital, le traitement de données de patients fait partie du déroulement normal de ses activités et est à considérer comme étant à grande échelle. Par contre, un médecin exerçant à titre individuel ne sera pas constitutif d'un traitement à grande échelle.