Guidelines

Ici viendront les guidelines

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices concernant les délégués à la protection des données (DPDs ou DPOs) - wp243rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD), qui devrait prendre effet le 25 mai 2018, fournit un cadre de conformité modernisé, fondé sur la responsabilité, en matière de protection des données en Europe. Les délégués à la protection des données (DPD) seront au coeur de ce nouveau cadre juridique pour de nombreux organismes, pour faciliter la conformité avec les dispositions du RGPD.

En vertu du RGPD, certains responsables du traitement et sous-traitants ont l’obligation de désigner un DPD. Cette obligation s’appliquera à l’ensemble des autorités et organismes publics (indépendamment de la nature des données qu’ils traitent), ainsi qu’à d’autres organismes dont les activités de base consistent en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel.

Même lorsque le RGPD n’exige pas spécifiquement la désignation d’un DPD, les organismes peuvent parfois juger utile d’en désigner un sur une base volontaire. Le groupe de travail «Article 29» sur la protection des données («G29») encourage ces efforts déployés sur une base volontaire.

La notion de DPD n’est pas nouvelle. Bien que la directive 95/46/CE ne contraigne aucun organisme à désigner un DPD, la pratique consistant à désigner un DPD s’est néanmoins installée dans plusieurs États membres au fil des ans.

Avant l’adoption du RGPD, le G29 avait fait valoir que le DPD était l’une des pierres angulaires du régime de responsabilité et que la désignation d’un DPD pouvait faciliter le respect des règles et, en outre, devenir un avantage concurrentiel pour les entreprises. Outre qu’ils favorisent le respect des règles grâce à la mise en oeuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données), les DPD agissent comme intermédiaires entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24, paragraphe 1). Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant.

Le responsable du traitement ou le sous-traitant jouent également un rôle essentiel pour permettre l’exécution efficace des missions du DPD. La désignation d’un DPD est une première étape, mais celui-ci doit aussi disposer d’une autonomie et de ressources suffisantes pour s’acquitter efficacement de ses missions.

Le RGPD reconnaît le DPD en tant qu’acteur clé dans le nouveau système de gouvernance des données et établit les conditions relatives à sa désignation, à sa fonction et à ses missions. L’objectif des présentes lignes directrices est de préciser les dispositions pertinentes du RGPD afin d’aider les responsables du traitement et les sous-traitants à respecter la législation, mais aussi d’assister les DPD dans leur rôle. Les présentes lignes directrices formulent également des recommandations en matière de bonnes pratiques, en s’appuyant sur l’expérience acquise dans certains États membres de l’Union. Le G29 assurera le suivi de la mise en oeuvre des présentes lignes directrices et pourrait les compléter avec des précisions supplémentaires si nécessaire.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à la désignation d’un DPO conformément au RGPD - n° 04/2017 (24 mai 2017)

1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

2. Dans le chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, la section IV est entièrement consacrée au délégué à la protection des données. Plus spécifiquement, l’article 37 détaille les cas dans lesquels la désignation du délégué à la protection des données est obligatoire ainsi que les modalités de cette désignation ; l’article 38 encadre la fonction même de délégué à la protection des données (statut) et l’article 39 décrit quelles sont ses missions. Quelques autres articles du RGPD viennent compléter l’encadrement de cette fonction nouvelle.

3. Immédiatement après l’adoption du RGPD, les autorités de protection des données ont identifié la question du délégué à la protection des données comme prioritaire. Elles ont incité les responsables de traitement et sous-traitants à vérifier rapidement si oui ou non ils sont juridiquement tenus de désigner un délégué à la protection des données en application de l’article 37.1. du RGPD ainsi qu’à procéder aux engagements ou à programmer les formations nécessaires. Réunies au sein du Groupe de l’Article 29, elles ont également encouragé la désignation volontaire de tels délégués et proposé des lignes directrices d’interprétation commune des articles pertinents du RGPD ainsi que formulé un certain nombre de recommandations (best practice).

4. Outre les questions récurrentes auxquelles elle a déjà répondu par la voie de FAQ sur son site Internet (et pour la réponse auxquelles elle s’appuie sur le travail d’interprétation commune du groupe de l’Article 29 déjà cité), la CPVP reçoit régulièrement la question de savoir si le « conseiller en sécurité » que doivent désigner certaines institutions, organismes et autres entités en application de différentes règlementations belges peut devenir le délégué à la protection des données - exigé pour toute autorité et organisme publics notamment (37.1. du RGPD). Peut-il exercer cumulativement les fonctions de conseiller en sécurité et de délégué à la protection des données et, le cas échéant, à quelles conditions ?

5. La présente recommandation a pour objectif de guider les responsable de traitement et les sous-traitants dans leur analyse et leur choix d’un délégué à la protection des données dans le respect du RGPD (voy. le point III). Compte tenu des nombreuses questions que la CPVP reçoit quant au cumul de cette fonction avec celle de « conseiller en sécurité », une attention particulière, mais non exclusive, sera accordée à cet aspect dans la présente recommandation.

Lien

France

CNIL

Guide pratique: délégués à la protection des données

Lien

Référentiel: Certification des compétences du DPO (20 septembre 2018)

Lien

Référentiel: Certification des organismes de certification des compétences du DPO (20 septembre 2018)

Lien

Retour au sommaire

Union Européenne

France

C.E., n° 459454 (21 octobre 2022) 

10. En deuxième lieu, il résulte des dispositions du paragraphe 3 de l'article 38 du RGPD citées au point 8, éclairées par la Cour de justice de l'Union européenne dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité des dispositions du RGPD. En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément aux dispositions du RGPD. Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.

11. Il ressort des pièces du dossier que, pour déterminer s'il y avait lieu de poursuivre la société ... en raison de manquements aux règles garantissant l'indépendance du délégué à la protection des données énoncées au paragraphe 3 de l'article 38 du RGPD, la CNIL a confronté les faits et griefs évoqués dans la plainte de Mme C... avec la réponse de la société. Celle-ci a réfuté avoir donné des instructions à l'intéressée en sa qualité de déléguée à la protection des données et a exposé que son licenciement résultait de défaillances dans l'exercice de ses fonctions, en mentionnant notamment, à ce titre, l'absence de production d'une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée, en sus du non-respect de processus internes à la société, consistant notamment à s'affranchir des chaînes hiérarchiques en s'adressant directement aux collaborateurs d'une équipe sans l'aval du chef de celle-ci ou à prendre des congés sans en avertir en temps utile sa hiérarchie. La société ... a, en outre, fait valoir que Mme C... n'avait jamais fait l'objet de sanctions directes ou indirectes, en soutenant que la circonstance qu'elle n'ait pas obtenu le taux maximum de sa prime de performance en mars 2019 tenait à ce qu'elle ne satisfaisait pas pleinement aux exigences liées à sa fonction. La CNIL a pris sa décision après avoir examiné l'ensemble des éléments en sa possession.

Lien

 

Retour au sommaire

Le GDPR

Le délégué à la protection des données reçoit plusieurs missions minimales en application de l’article 39 : une mission d’avis et de conseil (1) ; une mission de contrôle (2) ; une mission de point de contact avec l’autorité de contrôle (3).

Elles peuvent être résumées comme suit :

1. informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les salariés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du Règlement et d'autres dispositions en matière de protection des données. Il doit aussi conseiller le responsable du traitement lorsque ce dernier est tenu d’effectuer une analyse d'impact relative à la protection des données conformément à l'article 35 ;
2. contrôler la conformité des traitements au Règlement, à d'autres dispositions de l'Union ou de l'État membre concerné en matière de protection des données et aux règles internes du responsable du traitement ou du sous-traitant y compris la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux traitements, et les audits s'y rapportant;
3.  être le point de contact de l'autorité de contrôle sur les questions liées au traitement de données à caractère personnel, y compris concernant la consultation préalable visée à l'article 36, et consulter celle-ci, le cas échéant, sur tout autre sujet. Il doit bien entendu coopérer avec celle-ci ;

 

Le Règlement précise que le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.

La Directive

L’article 18 de la Directive prévoyait, dans le cas très spécifique de sa désignation, la finalité de la mission du délégué à la protection des données à savoir : garantir que les activités de traitement ne portent pas atteinte aux droits et libertés des personnes concernées. Il était chargé notamment:

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente Directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2, contenues dans le registre public diffusé par l’autorité de contrôle.

Belgique

En Belgique, à défaut d’arrêt royal d’exécution de l’article 17bis de la loi, les missions du délégué n’ont jamais été précisées.

France

En droit français, l'article 49 du décret d’application du 20 octobre 2005 dispose que le Correspondant Informatique et Libertés :

- peut faire toute recommandation utile au responsable des traitements ;

- est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur le registre ;

- reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur le registre. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés ;

- établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la CNIL.

Difficultés probables

Les différentes missions du délégué à la protection des données risquent fort d’imposer de revoir l’organigramme des fonctions ainsi que les règles de gouvernance qui actuellement, dans les entreprises ou autorités publiques, ont trait à l’application et au contrôle du respect des règles en matière de protection des données.

Il n’est pas rare en effet de voir à l’heure actuelle les compétences du futur délégué partagées entre le service juridique, le service de compliance, voire le délégué à la protection des données déjà désigné.