DPO - De la théorie à la pratique

Par Christophe CHAMPOUSSIN • 10 octobre 2023 • Village de la justice

Il y a souvent un écart entre ce que le RGPD attribue comme missions au DPO et ce qu’il est amené à faire dans la pratique.

Rappelons ici que les missions du DPO sont listées à l’article 39 du RGPD :

a. Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;

b. Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;

c. Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;

d. Coopérer avec l'autorité de contrôle ;

e. Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

D’autres articles rappellent / renvoient à cela, par exemple le 35.2 qui dispose «Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné. ».

En résumé :

  • Conseiller;

  • Contrôler;

  • Être le «relais» de l’organisme avec l’autorité de contrôle.

Voyons et analysons maintenant quelques tâches que le RGPD n’attribue PAS (ou pas en totalité) au DPO, mais qui lui sont souvent demandées (ce qui n’est pas «illégal», cf. le 39.1 «Les missions du délégué à la protection des données sont au moins les suivantes»).

La tenue des registres Responsable de Traitement (30.1) ou Sous-traitant (30.2)

Ce premier point est un peu particulier dans notre raisonnement: le RGPD n’attribue en effet pas la tenue du registre au DPO mais on peut cependant aisément considérer qu’il est important que ce soit le cas.

En effet, ce registre est le pivot non pas de la conformité elle-même, mais de son pilotage par le DPO (même la conformité en soi n’est pas de la responsabilité du DPO -et je ne doute pas que cela amènera des commentaires- mais il suffit de lire le RGPD pour voir que cette conformité est de la responsabilité du RT, pas de celle du DPO, qui «conseille et contrôle»).

N.B.: dans la Loi «Informatique et Libertés» d’avant le RGPD, ou plus exactement dans son décret d’application (Décret n°2005-1309 du 20 octobre 2005), lorsqu’un Correspondant Informatique et Libertés (l’ancêtre du DPO en droit français) était désigné, alors la tenue du registre lui incombait :

  • Article. 47 : «Le responsable des traitements fournit au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés mis en œuvre …» ;

  • Article 48 : «Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l'article 47.»).

Effectuer les AIPD

Il s’agit là selon nous d’une erreur importante. Certes le DPO doit prendre sa part, indiquer les AIPD à réaliser, vérifier leur bonne exécution (compléter) et donner un avis (risque résiduel). Mais est-ce bien à lui de mener les AIPD ?

  • Au-delà de ce que dit le RGPD, est-ce une bonne chose ?

  • Qui est le plus à même (en théorie) de déterminer les scenarii menant à des «événements indésirables» ?

  • Qui devrait évaluer chaque risque (vraisemblance et gravité) ?

Les «métiers» bien sûr, avec l’aide de la DSI sur les aspects techniques et celle du DPO lorsque nécessaire. Or nous avons vu de nombreux cas lors de nos missions de conseil et lors de nos formations où le DPO «fait tout» avec un simple «input» des métiers : déterminer les risques, évaluer la vraisemblance et gravité de chaque, les impacts sur les personnes, … C’est une erreur selon nous.

Dans le cadre de nos missions de DPO externe, et même si cela peut paraître étonnant d’un point de vue commercial, nous indiquons et insistons auprès de nos clients pour ne pas réaliser les AIPD tout en prenant notre part. Nous pouvons les former, les aider sur la première, … mais idéalement pas les réaliser. Et si c’est la seule solution, alors nous les réalisons mais avec des rendez-vous avec les métiers (qui DOIVENT se positionner), la DSI, … Nous pilotons plus que nous réalisons.

Violations de données

Le DPO doit bien sûr piloter cela, établir une procédure, … mais est-ce à lui d’effectuer l’éventuelle notification à la CNIL et surtout, lorsque le risque est élevé, la communication aux personnes concernées ?

Là encore non, même s’il doit bien évidemment prendre sa part:

  • Nous proposons un niveau de gravité (et le RT fait sa propre analyse et décide);

  • Nous réalisons (sur demande écrite et après avoir obtenu tous les éléments nécessaires -des métiers et de la DSI là encore-) l’éventuelle notification à la CNIL;

  • Nous donnons un avis sur la communication aux personne concernées (faut-il la faire ou pas, contenu de la communication, …) mais ce n’est en aucun cas au DPO de faire cette communication (de la «construire»). Cette communication aux personnes concernées est un acte «politique» où le RT va indiquer ce qu’il s’est passé et surtout informer sur les conséquences possibles de cela.

  • Est-ce le rôle du DPO ? Assurément pas.

Demandes de droit

Là encore le DPO doit, toujours avec les métiers, proposer un procédure. Il doit s’assurer que chaque demande est traitée dans les forme et délai requis par le règlement européen.

Mais est-ce à lui de tout gérer, collecter les données, … ?

Là encore le RGPD ne le dit pas et ce n’est selon nous pas la bonne approche.

Il pourra proposer une mention pour le courrier (la gestion des demandes de droit étant un traitement), validera le courrier (complétude) voire selon les cas le co-signera, mais n’a pas à «tout faire». Il … conseille et contrôle.

Notre approche tient à un point simple : le respect du RGPD dans un organisme n’est pas le domaine réservé du DPO, c’est l’affaire de tous. Laisser croire qu’une fois un DPO désigné, c’est «tout bon» est non seulement utopique mais très risqué.

Le rôle du DPO n’est pas non plus de décider, de dire Oui ou Non à tel ou tel projet. Il est d’éclairer, d’alerter, de conseiller, d’aider, d’assister. Pas de prendre des décisions «à la place de».

J’ai souvent eu des regards dubitatifs en expliquant cela depuis 2016 (entrée en vigueur du RGPD). Il suffit de lire le guide du DPO de la CNIL pour avoir confirmation du rôle de ce dernier.

Le RGPD est applicable depuis maintenant plus de 5 ans. Et pourtant force est de constater que ces principes simples ne sont pas toujours intégrés par les RT (de manière volontaire ou pas, ce qui est un autre sujet), voire par les DPO eux-mêmes.

Combien de fois avons-nous entendu en formation «Ah bon ce n’est pas à moi de FAIRE les AIPD ?».

Et demain ?

Rappelons que la «Loi Informatique et Libertés» est née du fait de la croissance de l’informatique et des risques induits (d’où son nom qui a malheureusement parfois conduit à assimiler les problématiques «données personnelles» à des problématiques purement informatiques).

La dématérialisation ne cesse de croître et le «tout numérique» est en marche rapide, ce qui rend ces risques plus nombreux.

De nouveaux textes sont en vigueur ou en projet (DMA, DSA, règlement sur l’IA, …).

Le DPO devra étudier ces textes et évaluer les impacts sur sa mission.

Dans le projet de règlement sur l’Intelligence Artificielle par exemple, il n’y a pas de fonction similaire au DPO. Et pourtant certaines IA traitent bien de données à caractère personnel.

Tout cela fait que notre passionnant métier de DPO a encore de beaux jours devant lui!

Un conseil en guise conclusion à l’attention des DPO débutants : au-delà des connaissances à acquérir, deux maîtres mots à retenir : diplomatie et pragmatisme.

Retour à la liste des articles
Anaxia Conseil

Contactez-nous

Pour toute demande, merci d'utiliser notre page de contact

© Anaxia Conseil 2024 - Mentions Légales - Données Personnelles

Adresse

400 Avenue Roumanille
Village Greenside • BP 309
06906 SOPHIA ANTIPOLIS Cedex

Merci !

Votre demande nous a bien été envoyée

Merci !

Votre demande nous a bien été envoyée

Je poursuis ma visite