Juridique

Quel avenir pour le DPO lors de la mise en oeuvre du GDPR ?

Paul-Olivier Gibert est le président de l'AFCDP, qui fait partie des associations signataires de l’interpellation du G29.

Les associations professionnelles de correspondants à la protection des données personnelles, futurs DPO, comme l'AFCDP en France, ont interpellé le G29. Le rôle et le profil exacts du DPO nécessitent, selon elles, des mises au point. Et le G29 devrait mieux préciser le périmètre des entreprises -désormais très nombreuses- où la nomination d'un DPO sera obligatoire.

PublicitéAdopté par le Parlement Européen le 14 avril 2016, le Règlement Général sur la Protection des Données (RGPD ; en anglais : General Data Protection Regulation, GDPR) entrera en vigueur dans tous les pays de l'Union Européenne 25 mai 2018. Au contraire d'une directive, un règlement général n'a pas besoin d'être transcrit en droit national : il est d'application directe. Parmi les nouveautés, il y a la nomination beaucoup plus systématique d'un correspondant à la protection des données, le fameux DPO (Data Protection Officer), qui se substituera, en France, à l'actuel CPDP (Correspondant à la Protection des Données), souvent appelé CIL (Correspondant Informatique et Liberté). Le groupe de travail européen réunissant la CNIL et ses homologues des autres pays d'Europe, le G29, est actuellement en train de travailler sur les lignes directrices d'application du GDPR, en particulier sur la définition du DPO et de son rôle.
Or certains points dans les documents de travail du G29 inquiètent les associations professionnelles européennes de DPO, comme l'AFCDP en France (Association française des correspondants à la protection des données personnelles). Regroupées au sein de la CEDPO (Confederation of European Data Protection Organisations), ces associations professionnelles ont interpellé le G29 en indiquant leurs doléances dans une lettre commune, même si l'essentiel des lignes directrices leur convient.

Un profil qui ne peut pas être seulement juridique

Pour la CEDPO, le DPO ne peut pas être uniquement un juriste. Une tendance pourrait être de ne nommer les DPO que parmi les avocats ou assimilés. Or, s'il y a une dimension juridique évidente dans leur rôle, la dimension technique est également essentielle. Selon l'AFCDP, la diversité de profils du DPO telle que constatée actuellement en France est une richesse. Les DPO informaticiens devront évidemment se former au juridique comme les DPO juristes devront se former à la technique informatique, notamment pour estimer le risque et la sécurité assurée aux données. La CEDPO insiste sur el besoin de formation continue du DPO pour être à jour des évolutions techniques.
Si le GDPR ouvre clairement la voie à la mutualisation de DPO via le recours à des DPO externalisés, l'approche de la CEDPO est celle de la neutralité. Chaque organisation doit avoir un plein choix de nommer un DPO interne ou externe sans qu'il y ait de contrainte, par exemple en lien avec la protection interne du DPO. Une certaine stabilité dans le choix devrait être assurée. Si l'indépendance du DPO vis-à-vis de son organisation de rattachement est nécessaire, la CEDPO estime que des précisions doivent être apportées à ce sujet. Il semble indispensable que le DPO n'ait à rapporter qu'au plus haut niveau de direction (en gros : le PDG).

PublicitéQuand nommer un DPO ? Et s'en séparer ?

Parmi les nouveautés du GDPR, il y a en effet la nomination obligatoire d'un DPO dans un grand nombre d'entreprises et d'administrations. Or le périmètre actuel de cette obligation est assez imprécis. Les lignes directrices du G29 partent plutôt sur une grande quantité de données personnelles traitées, la CEDPO privilégiant plutôt une approche par le risque encouru (sensibilité des informations, etc.) plus que par la quantité. L'approche de la CEDPO aboutirait donc à obliger à la nomination d'un DPO dans bien plus d'entreprises, y compris de petites tailles, par exemple dès qu'il y a réalisation de marketing direct. Dans tous les cas, il reste possible de nommer un DPO. En cas de doute sur l'obligation, la nomination d'un DPO semble donc préférable.
Il n'en demeure pas moins qu'un DPO peut se révéler inadéquat. Sa protection et son indépendance ne peuvent pas faire obstacle à sa responsabilité professionnelle. Mais la mise en cause de celle-ci reste assez floue pour l'instant, ce qui ne satisfait pas la CEDPO.
Enfin, les données personnelles du DPO doivent aussi être protégées ! La CEDPO concède qu'il faut que chacun puisse saisir le DPO d'une organisation avec qui il est en rapport, ce qui implique de publier les coordonnées du DPO. Mais, pour la CEDPO, les coordonnées doivent être non-nominatives (par exemple une adresse mail de type dpo@entreprise.xxx).