Le délégué à la protection des données (DPO) assure une mission de conseil et d’accompagnement dans la conformité au RGPD. Son périmètre d’action est élargi par rapport à celui qu’on peut considérer comme son prédécesseur : le correspondant informatique et libertés (CIL).
Avec l’entrée en application du RGPD, sa désignation est devenue, obligatoire… tout du moins dans certains cas.
La réponse se trouve à l’article 37 du règlement européen.
La Cnil résume ainsi les trois cas de traitements de données à caractère personnel qui requièrent la désignation d’un DPO :
– Les autorités ou organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
– Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
– Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Les données « sensibles » sont listées à l’article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, vie et orientation sexuelles, santé. S’y ajoutent, d’une part, les données génétiques ou biométriques qui peuvent permettre d’identifier des individus. Et de l’autre, les données relatives à des condamnations pénales et à des infractions.
Pour définir certains termes, il faut se référer aux considérants du RGPD et aux lignes directrices du CEPD (Contrôleur européen de la protection des données).
Par « activités de base », il faut entendre les opérations essentielles nécessaires pour atteindre les objectifs d’un responsable du traitement de données ou d’un sous-traitant. Les activités dont le traitement de données est partie intégrante ne doivent pas être exclues. Exemple pour un hôpital qui fournit à la base des soins de santé, mais ne peut le faire de manière sûre et efficace sans traiter de données telles que des dossiers médicaux.
« À grande échelle » implique de prendre en compte le nombre de personnes affectées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée. Mais aussi de considérer le volume et le spectre des données traitées, la durée ou la permanence des activités de traitement, ainsi que leur étendue géographique.
Le suivi est entendu comme « régulier » s’il est : continu ou se produisant à intervalles réguliers au cours d’une période donnée ; récurrent ou se répétant à des moments fixes ; ayant lieu de manière constante ou périodique.
Il est dit « systématique » s’il : se produit conformément à un système ; est préétabli, organisé ou méthodique ; a lieu dans cadre d’un programme général de collecte de données ; est effectué dans le cadre d’une stratégie.
L’article 39 du RGPD synthétise les missions du DPO :
– Informer et conseiller le responsable ou le sous-traitant ainsi que les employés qui procèdent au traitement ;
– Contrôler le respect du RGPD et des autres dispositions de droit en matière de protection des données ;
– Dispenser des conseils en ce qui concerne les analyses d’impact relatives à la protection des données et en vérifier l’exécution
– Coopérer avec l’autorité de contrôle et faire, pour elle, office de point de contact.
La Cnil insiste sur le fait qu’il n’existe pas de profil-type. Elle illustre son propos par la diversité des CIL : 49 % avaient un profil technique ; 19 %, juridique ; 10 %, administratif.
L’AFCDP (Association française des correspondants aux données personnelles) lui fait écho : « Un juriste à qui il manque la technique va se faire balader par les informaticiens. Inversement, un qualiticien ou un gestionnaire des risques n’aura pas le vernis juridique requis ».
Au-delà de l’expertise juridique et technique, le DPO doit avoir une connaissance de l’organisme pour lequel il exerce. Non seulement de son activité, mais aussi de la sensibilité des traitements mis en œuvre… et par là même du niveau d’exposition au risque. Celui-ci peut être évalué selon la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), gérée par l’Anssi (Agence nationale de la sécurité des systèmes d’information).
Pour combler les écarts d’expertise existants et/ou qui pourraient naître à mesure que l’activité de l’organisme évolue, l’AFCDP tient une liste de formations longues. Dispensées à Paris, Lyon, Lille et Caen, elles débouchent généralement sur l’obtention d’un diplôme universitaire.
L’UDPO (Union des data protection officers), créée par un ancien de l’AFCDP, met en avant une formation courte. Cette formation est dispensée par la société Anaxil, filiale du groupe DPMS, dont le principal dirigeant n’est autre que le président-fondateur de l’UDPO.
Certaines formations courtes mixent présentiel et e-learning, quand d’autres n’incluent que l’un ou l’autre format (par exemple chez ActeCil). Éventuellement déclinées par secteurs (comme chez Anaxia Conseil, dans le logement social et les collectivités territoriales), elles impliquent parfois des partenariat avec des établissements d’enseignement (le cabinet Bird & Bird + Sciences Po).
Au-delà des formations qu’elle a labellisées, la Cnil a aussi établi un mécanisme de certification dit « volontaire ».
Ne conditionnant pas l’exercice du DPO, il est toutefois censé attester de 17 compétences et savoir-faire organisationnels, techniques et juridiques.
La Commission ne délivre pas directement ces certifications valables trois ans. C’est le rôle d’organismes agréés.
Dans l’attente d’un programme d’accréditation spécifique, l’agrément est apprécié au regard de la norme ISO/CEI 17024.
Le dispositif n’est pas contraignant pour les organismes, au sens où ils gardent la possibilité de certifier des DPO sur la base de leur propre référentiel de certification non approuvé par la Cnil.
Vu la pénurie de profils, la question d’externaliser la fonction se pose.
L’article 37 du RGPD autorise cette pratique. Le règlement permet même le recours à un DPO mutualisé dans un groupe d’entreprises aussi longtemps qu’il est « facilement joignable à partir de chaque lieu d’établissement ».
Les recommandations de la Cnil vont dans ce sens. Les délégués à la protection des données sont aussi encouragés à s’organiser en groupes de travail réunis par secteurs d’activité ou territoires.
Des sociétés de conseil et des cabinets d’avocats se proposent de prendre en charge la fonction de DPO. Souvent dans le cadre d’offres globales qui peuvent inclure des services d’audit, de cybersurveillance, de rédaction de documentation à destination des employés et des autorités, etc.
Pour favoriser la mise en relation avec ces prestataires tiers, l’AFCDP a monté une place de marché. Elle y a associé une liste de thèses et de mémoires ainsi qu’une charte déontologique des DPO.
L’article 38 du RGPD stipule que le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction.
Il n’existe pas d’exigences en matière de rattachement, tant que ses missions peuvent être exercées « en toute indépendance ». Ce qui suppose des qualités morales. Typiquement, la capacité à convaincre une direction métier qu’elle ne peut procéder à tel ou tel traitement de données, en dépit des enjeux business.
Le Clusif (Club de la sécurité de l’information français) est l’un des défenseurs d’une démarche « pluridisciplinaire » en ce qui concerne la sécurité opérationnelle ainsi que la gestion du risque et de la conformité.
Le DPO peut tout à fait exécuter d’autres missions au sein de la même structure, aussi longtemps qu’elles n’entraînent pas de conflit d’intérêts. Dans tous les cas, les moyens matériels, financiers et intellectuels nécessaires devront lui être octroyés. Entre autres pour qu’il puissent être facilement joint par les personnes concernées (employés, clients, usagers…).
Si certains prestataires promettent d’assurer la mission des DPO, d’autres proposent de les accompagner dans leur tâche. Souvent avec des plates-formes globales d’aide à la mise en conformité (cartographie des traitements, priorisation des actions, organisation des procédures…), mais aussi quelquefois avec des outils spécifiques.
C’est le cas de Clevy, dont la SNCF a adopté le chatbot pour aider les DPO et les juristes à remplir leur mission de sensibilisation au sein des EPIC du groupe public ferroviaire. Ou d’Arcserve, qui a greffé à sa solution d’archivage de mails un rôle d’utilisateur « spécial DPO ».
La déclaration d’un DPO peut se faire sur le site de la Cnil. Ce en fournissant des informations sur la structure déclarante et son représentant, puis sur le DPO (ainsi que ses coordonnées publiques).
Photo d’illustration © Olivier Le Moal – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…