[mis à jour le 23 mai 2017] « Responsable, mais pas coupable« . Cette citation d’une ministre de notre République pourrait parfaitement s’appliquer au Data Protection Officer, le « Correspondant Informatique et Libertés » version GDPR chargé de veiller à la bonne application par son entreprise (ou son client) des règles relatives à la collecte et au traitement des données [personnelles]. On peut reprocher au DPO de ne pas faire correctement son travail (aspect de droit social que je maitrise mal…), mais seule l’entreprise peut se voir infliger des sanctions administratives si, au final, la GDPR n’est pas respectée…

Alors ? Votre entreprise est-elle tenue de désigner un DPO ? La question (comme la réponse) vaut – bien entendu – pour les « responsables de traitement » comme pour les « sous-traitants« .

4 cas de désignation obligatoire 

Ont l’obligation de désigner un Data Protection Officer (i) TOUTES les administrations et tous les « organismes publics », ainsi que (ii) les administrations et les entreprises qui traitent des données sensibles ou des données d’ordre pénal.

3° cas de désignation obligatoire d’un DPO : toutes les entreprises qui procèdent à des « opérations de traitement » (tiens ?! une nouvelle notion ?) « qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes« .

Enfin, 4° et dernier cas de désignation obligatoire : lorsque le droit national d’un Etat membre de l’UE l’impose. Ce n’était pas le cas en France sous le régime de la Directive 95/46. Nous verrons ce qu’il en sera dans l’héxagone avec la prochaine majorité parlementaire.

En dehors de ces 4 cas obligatoires, la désignation d’un DPO par une entreprise relève d’un choix… ça fleur bon déjà le « furieusement » conseillé…

Les missions du Data Protection Officer

Classiquement, le rôle du DPO est de veiller à ce que son entreprise (s’il est salarié) ou son client (s’il est prestataire externe) respecte effectivement les obligations issues de la GDPR. Mais l’UE insiste sur le travail de formation et « d’évangilation » du DPO en matière de protection des données [personnelles]. Nous verrons dans les slides dans quelle mesure.

Je vais vous le dire autrement : le DPO n’est pas un CIL. C’est un véritable lanceur d’alerte qui DOIT intervenir dans l’entreprise. Ce n’est pas lui qui fait, c’est lui qui surveille que tout soit fait correctement au regard de la GDPR.

L’indépendance du Data Protection Officer

Que le DPO soit salarié de l’entreprise ou prestataire externe, il lui est nécessaire de pouvoir assurer ses fonctions en toute indépendance… La GDPR prévoit logiquement une série de conditions sensées permettre au DPO d’accomplir effectivement ses missions, sans encourir les foudres de sa hiérarchie. La GDPR impose une règle simple relative à tout conflit d’intérêts avec d’autres missions que le DPO pourrait également accomplir.

Le rôle central du Data Protection Officer

En synthèse ? Le DPO – lorsqu’il en est désigné un – est le point central de l’entreprise pour toute question relative à la collecte et au traitement des données [personnelles]. Il doit être associé à toute décision relative au traitement des données. Il est également le « guichet unique » vis-à-vis de l’Autorité de contrôle (la CNIL) ou des personnes concernées, qu’il s’agisse de communiquer en cas de faille de sécurité / fuite de données, comme de l’exercice par les personnes concernées de leurs droits (accès, rectification, oubli, limitation, etc.).

Surtout ? Le DPO est un véritable lanceur d’alerte et non plus une courroie de transmission entre l’entreprise et la CNIL. Etre C.I.L. était facile (comme ma rime). DPO, c’est franchement autre chose. Apparemment, les entreprises peinent à trouver des salariés pour faire le job. ça sent bon l’externalisation de la fonction…

Non, le travail du DPO ne sera pas un job de tout repos.

Le « tarif » des sanctions pour l’entreprise

Si l’entreprise, responsable de traitement comme sous-traitant, ne respecte pas ses obligations en matière de désignation ou de missions confiées au DPO ? Elle encourt l’ensemble des sanctions administratives au format « 10 millions d’euros / 2% du CA mondial« .

Là aussi, il va falloir être vigilant, sauf à attendre de servir d’exemple pour la CNIL…

Je vous l’avais dit : ça ne rigole plus avec les données personnelles… plus du tout.

Synthèse de la GDPR et audit ?

Maintenant que vous connaissez le « tarif », vous êtes motivé pour vous mettre en conformité ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).