Par une série de décisions, de recommandations et de guides thématiques, les autorités de protection des données européennes font émerger des réponses pratiques aux interrogations des professionnels de la protection des données concernant leur place au sein des entreprises ou encore les compétences et les ressources dont ils doivent pouvoir disposer. Etat des lieux.

Une professionnalisation croissante

Profils 

La fonction de Data Protection Officier (DPO) est ouverte à de multiples profils mais reste généralement pourvue par des personnes issues de l’informatique, du juridique ou de l’audit. Le DPO peut être :
Un collaborateur de l’entreprise à temps partiel (ce qui est le cas pour la majorité des entreprises),
Un salarié entièrement dédié à cette tâche,
Un prestataire externe, qu’il s’agisse d’une entreprise ou d’un individu.
Ce rôle connaît une professionnalisation croissante qui va de pair avec l’augmentation du nombre de DPO désignés auprès de la CNIL. Plus de 80 000 organismes ont désigné un DPO auprès de la CNIL à date de 2021 contre 16 000 Correspondants Informatique et Liberté (CIL) précédemment à l’entrée en vigueur du RGPD.

Compétences

Dans son guide sur le DPO[i], la CNIL indique que ce dernier se doit, notamment, de posséder :

  • Une expertise juridique et technique en matière de protection des données,
  • Une connaissance du secteur d’activité, des traitements de données, du SI et de l’organisation de l’entreprise ou de l’administration pour laquelle il est désigné.

Ces expertises peuvent être acquises, après la désignation en tant que DPO, au moyen d’un plan de formation adapté au profil de la personne considérée.

Il n’y a donc pas de diplôme requis, et ce, même si disposer d’une certification « Data Protection Officer » validée par un organisme reconnu par la CNIL ou de formations et certifications liées (ISO 27001, ISO 27005, etc.) s’impose comme une bonne pratique.

 

[i] CNIL – Guide du Délégué à la Protection des Données – https://www.cnil.fr/fr/la-cnil-publie-un-guide-du-delegue-la-protection-des-donnees

Traitements complexes

L’autorité de protection des données française considère que « le niveau d’expertise exigé varie en fonction de la sensibilité, de la complexité et du volume de données traitées par l’organisme »[i]. Dans le cadre d’entreprises réalisant des traitements de données complexes ou supposant des atteintes significatives à la vie privée, cette exigence pourrait, par exemple, restreindre les possibilités de désignation (par mutation ou embauche) en tant que DPO d’un collaborateur ne disposant pas d’expériences antérieures dans la protection des données personnelles ou d’une formation juridique suffisante.

Il conviendra donc – dans tous les cas et, particulièrement, si le DPO pressenti manque d’expertise en matière de protection des données – de faire figurer dans la documentation de conformité, les ressources internes et externes auxquelles il aura accès :

  • Le plan de formation du DPO nouvellement désigné (cursus, certification envisagée, etc.),
  • Les modalités et le budget permettant le recours à un cabinet d’avocats spécialisé,
  • Son accompagnement par des consultants ou collaborateurs internes spécialisés en protection des données,
  • Le nombre de jours/homme alloti pour des consultations du département juridique,
  • Les dispositifs de formation continues mises en place,
  • L’adhésion de l’entreprise ou du collaborateur à des instances professionnelles,
  • etc

Dans le même sens, on peut penser qu’un DPO disposant de l’expérience professionnelle ou des connaissances juridiques requises devrait bénéficier d’un « programme d’acculturation » lui permettant de mieux comprendre les enjeux d’un domaine d’activité et d’une entreprise où il n’a pas précédemment exercé.

 

[i] CNIL – Guide du Délégué à la Protection des Données, précité

 

Des exigences importantes concernant l’absence de conflits d’intérêts

Une absence de conflits à documenter. Si le Data Protection Officer peut exercer ses fonctions à temps partiel, « dans le cadre de ses autres fonctions, il ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitements »[i].

Cette absence de conflits d’intérêts doit être démontrée par une analyse concrète des missions réalisées par le collaborateur ; analyse qui pourra être demandée au titre de la documentation de conformité, en cas de contrôle. Par une décision du 28 avril 2020[ii], l’autorité belge de protection des données a, par exemple, infligé une amende à une société en considérant que son DPO ne pouvait pas être simultanément directeur « Audit, Risk and Compliance » car ce cumul de fonctions « prive chacun de ces trois départements de toute possibilité de contrôle indépendant » par le DPO et ne permet pas de garantir le respect du secret et de la confidentialité requis par l’article 38.5 du RGPD.

Dans le même sens, la CNIL note qu’un Data Protection Officer exerçant en parallèle « des fonctions de niveau hiérarchiques inférieur » peut se trouver en situation de conflits d’intérêts « dès lors qu’en pratique la personne participe à la détermination des finalités et des moyens du traitement »[iii]. Il n’est donc pas nécessaire d’être directeur ou responsable de service pour se trouver pris en défaut.

Il conviendra, de même, de documenter l’absence de conflits d’intérêts au regard des fonctions précédentes du collaborateur. Ainsi, la Commission nationale de protection des données du Luxembourg a estimé, dans une décision récente, qu’une entreprise contrôlée n’avait pas su démontrer l’absence de conflits d’intérêts résultant du choix de l’ancien responsable du service IT pour exercer le poste de DPO. L’autorité a jugé que, dans le cadre de ces nouvelles fonctions, il aurait pu « être amené à se prononcer sur des traitements qu’il a lui-même mis en place »[iv].

A noter que le chef d’enquête de l’autorité luxembourgeoise semble admettre que la « nomination d’un DPD ad hoc pour analyser les traitements informatiques »[v] aurait pu permettre
d’adresser le risque de conflits d’intérêts lié à cette désignation. Une telle possibilité d’exclure certains sujets du champ des compétences d’un DPO demeure à confirmer par la jurisprudence mais apparaît cohérente avec les pratiques observées au sein de certaines fonctions réglementées (ministres, haute administration, etc). Une attention toute particulière devrait, cependant, être apportée aux garanties accordées à cet « adjoint » du DPO. Il paraît, notamment, envisageable que ce dernier doive se voir garantir, dans le cadre de ses activités, des conditions d’exercices et d’indépendance équivalente à celles du DPO désigné.

[1] CNIL – Guide du Délégué à la Protection des Données – https://www.cnil.fr/fr/la-cnil-publie-un-guide-du-delegue-la-protection-des-donnees

[1] CNIL – Guide du Délégué à la Protection des Données, précité

[1] CNIL – Guide du Délégué à la Protection des Données, précité

[1] Autorité de Protection des Données – https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-18-2020.pdf

[1] CNIL – Guide du Délégué à la Protection des Données, précité

[1] Commission nationale pour la protection des données – Decision-29FR-2021-sous-forme-anonymisee.pdf (public.lu)

[1] Commission nationale pour la protection des données, Décision 29FR-2021 précitée