DPO à Nantes : votre cabinet d'Avocat vous informe


Les principes du RGPD et les missions du DPO

Le RGPD reconnaît le DPO en tant qu'acteur clé dans le nouveau système de gouvernance des données et établit les conditions relatives à sa désignation, à sa fonction et à ses missions. Il est tenu au respect des bonnes pratiques, en s'appuyant sur le travail de la CNIL et son propre savoir-faire et ses compétences.

Désignation du DPO

L'article 37, paragraphe 1, du RGPD requiert la désignation d'un DPO dans trois cas spécifiques :
  • lorsque le traitement est effectué par une autorité publique ou un organisme public
  • lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
  • lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
À moins qu'il soit évident qu'un organisme n'est pas tenu de désigner un DPO, le G29 recommande que les responsables du traitement et les sous-traitants documentent l'analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPO, afin qu'ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.
Bien qu'il n'y ait pas nécessairement d'obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d'effectuer des missions de service public désignent un DPO. Les activités de ce DPO couvrent l'ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l'exercice d'une charge officielle (par exemple, la gestion d’une base de données des employés).

DPO Nantes
Régit par le droit européen, la désignation d'un DPO est soumise à certaines conditions. Droits image : eyeem.com


Traitements "A Grande échelle"

L’article37, paragraphe1, exige que le traitement des données à caractère personnel soit effectué à grande échelle pour que la désignation d'un DPO soit obligatoire. Si le RGPD ne définit ( par exemple, les définitions de "l'organisme du secteur public" et de l'organisme de droit public énoncées respectivement à l'article2, point1, et à l'article 2, point2, de la directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public (JOL345 du 31.12.2003, p.90)) pas la notion de traitement à "grande échelle", le considérant fournit toutefois certaines orientations. En effet, il n'est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d'individus concernés, qui soit applicable dans toutes les situations. Cela n'exclut toutefois pas la possibilité qu'au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement "à grande échelle" pour certains types d'activités de traitement courantes. Le G29 prévoit également de contribuer à cette évolution, en partageant et faisant connaître des exemples de seuils pertinents pour la désignation d’un DPO. En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle:
  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;
  • le volume de données et/ou le spectre des données traitées;
  • la durée, ou la permanence, des activités de traitement des données;
  • l'étendue géographique de l'activité de traitement.

Exemples de traitement à grande échelle:

  • traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités;
  • traitement des données de voyage des passagers utilisant un moyen de transport public urbain (par exemple, suivi par les titres de transport);
  • traitement des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services;
  • traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités;
  • traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale;
  • traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.

Exemples ne constituant pas un traitement à grande échelle:

  • traitement, par un médecin exerçant à titre individuel, des données de ses patients;
  • traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel.


Suivi systématique ou régulier

La notion de suivi régulier et systématique des personnes concernées n'est pas définie dans le RGPD, mais celle de "suivi du comportement des personnes concernées" est mentionnée au considérant et inclut clairement toutes les formes de suivi et de profilage sur l'internet, y compris à des fins de publicité comportementale. Toutefois, la notion de suivi n'est pas limitée à l'environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées. Le G29 interprète le terme "régulier" comme recouvrant une ou plusieurs des significations suivantes:
  • continu ou se produisant à intervalles réguliers au cours d’une période donnée;
  • récurrent ou se répétant à des moments fixes;
  • ayant lieu de manière constante ou périodique.
Le G29 interprète le terme "systématique" comme recouvrant une ou plusieurs des significations suivantes :
  • se produisant conformément à un système;
  • préétabli, organisé ou méthodique;
  • ayant lieu dans le cadre d’un programme général de collecte de données;
  • effectué dans le cadre d’une stratégie.
Il est de la responsabilité de votre DPO de vous aider à situer vos actions commerciales dans le cadre strict prévu par les articles 3 et 37 du règlement (UE)2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

 
Accepter les cookies n'est pas du gout de tout le monde
Les GAFA peinent encore à adopter les directives européennes qui retoquent leur utilisation abusive des données personnelles. Ecran Iphone, image @Apple inc.
le DPO/DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
Limiter un harcèlement commercial contre-productif et responsabiliser l'entreprise sur l'exploitation des données personnelles sont les buts visés par la loi RGPD. Droits photos @pxhere.com.

Catégories particulières de données et données relatives à des condamnations pénales et à des infractions

L'article37 s'applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d'un DPO. En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPO, dans d'autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPO (les deux DPO devant alors collaborer entre eux). Il est important de souligner que, même si le responsable du traitement remplit les critères de désignation obligatoire, son sous-traitant n'est pas nécessairement tenu de désigner un DPO. Il peut toutefois s'agir d’une bonne pratique.

En tout état de cause, la désignation est obligatoire dès que la collecte concerne :
  • Données révélant l’original raciale ou ethnique;
  • Données révélant les opinions politiques;
  • Données révélant les convictions religieuses ou philosophiques;
  • Données révélant l’appartenance syndicale;
  • Données génétiques ;
  • Données biométriques ;
  • Données de santé;
  • Données concernant la vie sexuelle ou l’orientation sexuelle.

Exemple :
Une petite entreprise familiale active dans le secteur de la distribution d'appareils électroménagers dans une seule ville recourt aux services d’un sous-traitant dont l'activité de base consiste à fournir des services d'analyse de sites internet et d'assistance à la publicité et au marketing ciblés. Les activités de l'entreprise familiale et ses clients n'entraînent pas de traitement de données à "grande échelle", compte tenu du faible nombre de clients et des activités relativement limitées. Toutefois, prises globalement, les activités du sous-traitant, qui dispose d'un grand nombre de clients comme cette petite entreprise, consistent en un traitement à grande échelle. Le sous-traitant doit donc désigner un DPO en vertu de l'article37, paragraphe1, tandis que l'entreprise familiale elle-même n'est pas soumise à l'obligation de désigner un DPO.

Fonctions du DPO

L’article 38 du RGPD dispose que le responsable du traitement et le sous-traitant doivent veiller à ce que le DPO " soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ".

Le niveau d'expertise requis n'est pas strictement défini, mais il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme. Par exemple, lorsqu'une opération de traitement de données est particulièrement complexe, ou lorsqu'une grande quantité de données sensibles est concernée, il est possible que le DPO doive disposer d'un niveau plus élevé d'expertise et de soutien.Quoi qu'il en soit, il est nécessaire que le DPO dispose d'une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d'une connaissance approfondie du RGPD. Il est également utile que les autorités de contrôle encouragent la formation adéquate et régulière des DPO. La connaissance du secteur d'activité et de l'organisme du responsable du traitement est utile. Le DPO devrait également disposer d'une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d'information et des besoins du responsable du traitement en matière de protection et de sécurité des données.

Cas pratique : dans quel cas désigner un DPO

Type d'entité concernée Activité principale L'entité doit-elle désigner
obligatoirement un DPO ?
Association Une association loi 1901 agissant à l'échelle nationale agit afin de lutter contre une maladie relativement développée. Elle est l'unique association à agir contre cette maladie et aide notamment les malades et leurs proches tout en favorisant la recherche scientifique. Oui. L'entité traite au titre de son activité de base des catégories particulières de données à grande échelle.
Mairie Une commune de 2500 habitants met en œuvre des traitements de données classiques pour une collectivité territoriale. Oui. L'entité est un organisme public.
Société (personne morale) Une société commerciale agissant à l'échelle européenne met en œuvre un mécanisme de géolocalisation de l'ensemble de ses représentants afin d'améliorer leurs déplacements. Oui. Il peut être considéré que l'entité met en place au titre de ses activités de base, à grande échelle, un suivi régulier et systématique de ses commerciaux.
Association Une association loi 1901 propose des activités sportives à ses adhérents. Non.

Périmètre d'intervention et responsabilité

Le responsable du traitement ou le sous-traitant reste responsable du respect de la législation sur la protection des données et doit être en mesure de démontrer ce respect. Si le responsable du traitement ou le sous-traitant prend des décisions qui sont incompatibles avec le RGPD et l'avis du DPO, ce dernier devrait avoir la possibilité d'indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs. À cet égard, l'article 38, paragraphe3, dispose que le DPO " fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ". Une telle reddition de compte directe garantit que l'encadrement supérieur (par ex., le conseil d'administration) a connaissance des avis et recommandations du DPO qui s'inscrivent dans le cadre de la mission de ce dernier consistant à informer et à conseiller le responsable du traitement ou le sous-traitant. L'élaboration d'un rapport annuel sur les activités du DPO destiné au niveau le plus élevé de la direction constitue un autre exemple de reddition de compte directe.

Maître Rivain vous accompagne ainsi sur les points clé de la conformité avec la loi RGPD :
  • Programme de mise en conformité au RGPD
  • Développement de livrables
  • Registre des traitements en tant que responsable de traitement
  • Registre des traitements en tant que sous-traitant
  • Gestion documentaire de la conformité
  • Conseil sur la conformité des nouveaux traitements
  • Conseil sur les études d'impact sur la vie privée
  • Gestion des demandes et accompagnement en cas de controle de la CNIL
  • Accompagnement en cas de violation de données personnelles et litiges
Il est à noter que le DPO n'est pas personnellement responsable en cas de non-respect des exigences en matière de protection des données. C'est le responsable du traitement ou le sous-traitant qui est tenu de s'assurer et doit être en mesure de démontrer que le traitement est effectué conformément au RGPD. Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant.

(...) le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement.(...)

Conflit d'intérêt

L'article 38, paragraphe 6, autorise les DPO à "exécuter d'autres missions et tâches". Il exige toutefois que l'organisme veille à ce que "ces missions et tâches n'entraînent pas de conflit d'intérêts". L'absence de conflit d'intérêts est étroitement liée à l'obligation d'agir en toute indépendance. Bien que les DPO soient autorisés à exercer d'autres fonctions, un DPO ne peut se voir confier d'autres missions et tâches qu'à condition que celles-ci ne donnent pas lieu à un conflit d'intérêts. Cela signifie en particulier que le DPO ne peut exercer au sein de l'organisme une fonction qui l'amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.


Publié le 17 janvier 2020.