22/09/16

28.000 délégués à la protection des données nécessaires d'ici mai 2018 !

Sur la base de postulats restrictifs, une étude de l’International Association of Privacy Professional estime à 28.000 le nombre de délégués à la protection des données qui en vertu du nouveau du Règlement général sur la protection des données (GDPR), doivent être désignés par les entreprises européennes avant le 25 mai 2018, date d’entrée en application de ce Règlement.

Cette fonction nécessitant une expertise spécifique, et, pour certaines entreprises, des postes à temps plein, de nombreuses organisations s’étaient déjà dotées d’un tel organe (en particulier dans les secteurs bancaire, du numérique et du BtoC).  Mais de bonne pratique, la désignation d’un délégué est en passe de devenir une obligation applicable à toutes les entreprises soumises au droit européen.  

Les organisations soumises à l’obligation de désigner un délégué

Seront dans l’obligation de désigner un délégué à la protection des données :

  1. Les autorités et organismes publics, à l’exception des juridictions;
  2. Les organisations dont les activités de base consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
  3. Les organisations dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométriques, de santé, concernant la vie ou l’orientation sexuelle, condamnations pénales et infractions).

Les groupes de sociétés pourront toutefois désigner un seul délégué pour l’ensemble du groupe.

Cette terminologie fera l’objet d’éclaircissements par la voie de mesures d’application ou d’interprétations par les autorités. Les termes "activités de base" signifient-ils qu’une organisation ne sera pas soumise à cette obligation lorsque les traitements en cause entreront dans le cadre d’activités accessoires à l’activité principale de l’entreprise ? Comment interpréter les critères qualitatifs de "nature", "portée" et/ou "finalités" des traitements ? Comment fixer le critère, plus quantitatif, du "suivi régulier et systématique à grande échelle" ? Ces conditions devraient recevoir une interprétation large et s’appliquer en premier lieu à certains types d’activité (marketing direct, profilage, traitements de donnée de santé, etc.) et d’entreprises (disposant d’un grand nombre d’employés, d’un grand nombre de clients consommateurs, etc.).

Notons que les sous-traitants doivent désigner un délégué au même titre que les responsables de traitements. De nombreux professionnels n’agissant que sous les instructions de responsables devront donc désigner un délégué (sociétés d’externalisation informatiques telles que les fournisseurs de cloud computing, cabinet de recrutement, divers cabinets de conseil, etc.), sauf s’ils ne traitent que des données agrégées ou anonymisés.

Les missions du délégué à la protection des données

Le délégué à la protection des données est à la fois un responsable de projet, un conseiller, un auditeur et un chargé de relations externes. Le délégué doit avoir, "au moins", les missions suivantes :

  1. Informer et conseiller sur les obligations en matière de protection des données;
  2. Contrôler le respect des obligations et règles internes en matière de protection des données, y compris la répartition des responsabilités, la formation du personnel et les audits s'y rapportant;
  3. Dispenser des conseils concernant l'analyse d'impact relative à la protection des données et vérifier l’exécution de celle-ci;
  4. Coopérer et faire office de point de contact avec l'autorité de contrôle.

On pourrait y ajouter la gestion des relations avec les personnes physiques exerçant, en interne (employés) comme en externe (clients), leurs droits d’accès, d’opposition, de rectification et de suppression.

En définitive, le délégué est le responsable opérationnel de la politique générale de protection des données de l’entreprise. L’exercice des missions du délégué exigera donc une articulation efficace de son département avec les autres services de l’entreprise (ressources humaines, ventes, marketing, etc.) et l’autorité suffisante pour une mise en œuvre rapide de ses recommandations.

Le statut du délégué à la protection des données

Le Règlement encadre également les moyens et le statut du délégué. En effet, ce dernier doit être associé à toutes les questions relatives à la protection des données personnelles. Toutes les ressources (financières, opérationnelles et en termes de formation) nécessaires à la réalisation de ses missions  devront être mises à sa disposition.

S’agissant de l’aspect plus déontologique de sa fonction, le délégué est soumis à une obligation de confidentialité et aucun conflit d’intérêts ne devra intervenir entre sa mission de protection des données et ses éventuelles autres missions.

Enfin, l’indépendance du délégué est assurée par la voie de dispositions très strictes, sur le modèle des auditeurs internes : il ne devra recevoir aucune instruction en ce qui concerne l'exercice de ses missions, ne pourra être pénalisé par son employeur dans ce cadre et fera directement rapport au niveau le plus élevé de la direction. Cette question d’indépendance aura donc un impact direct sur l’organisation de l’entreprise. 

dotted_texture