En décembre 2016, l’organisation G29[1] est venu apporter des précisions concernant la nouvelle fonction de délégué chargé de mettre en œuvre la conformité des organismes au règlement européen sur la protection des données personnelles : le DPO (« Data Protection Officer », alias le « délégué à la protection des données »).
Le DPO est ainsi présenté comme l’enfant du CIL (l’actuel Correspondant Informatique et Libertés) : il a vocation à lui succéder dès mai 2018, il apporte de nouvelles idées et est davantage en phase avec la technique et les pratiques actuelles. Le DPO est en effet issu du nouveau règlement RGPD[2] adopté le 27 avril 2016 qui s’inscrit dans la politique européenne adoptée en matière de données personnelles : créer un régime permettant de protéger les individus tout en assurant un environnement juridique favorable au développement de l’économie de la donnée. Ce nouveau règlement présente quelques innovations importantes.
Si ce RGPD sera avant tout responsable d’une harmonisation des règles de protection des données au niveau européen[3], il sera aussi à l’origine d’une responsabilisation accrue des organismes ayant à traiter des données personnelles. Le DPO y jouera alors un rôle central, plus large que son aïeul le CIL. Mais pour comprendre le but de cette réforme, il est nécessaire de revenir sur le système actuel, ce dernier ayant vocation à disparaître à l’entrée en vigueur du règlement en mai 2018.
L’actuel système se base sur une logique de déclaration préalable : la mise en place d’un traitement de données personnelles suppose une déclaration auprès de l’autorité nationale chargée de la protection des données (en France, la CNIL). Ainsi, aussi bien les associations, les entreprises ou les administrations doivent déclarer précisément si et comment, dans le cadre de leurs activités, elles ont vocation à traiter des données personnelles. Malheureusement, ce principe de déclaration préalable avait la fâcheuse conséquence, à travers des délais de traitement des dossiers trop long, à inciter les responsables de traitement à rester dans l’illégalité ou à paralyser, par ce délai, ceux respectant le cadre légal.
Afin de remédier à ce problème, le RGPD viendra mettre fin au système actuel des formalités préalables au profit de la mise en œuvre de l’obligation, pour le responsable de traitement, de documenter sa conformité et de définir en interne les règles pour assurer la conformité de leurs traitements. Ainsi, une entreprise sera invitée à se responsabiliser et à définir, par elle-même, les mesures de mise en conformité qu’elle estime les plus adaptées à sa situation, ces dernières étant disponibles auprès des autorités de contrôle qui surveilleront le niveau exact de conformité à la loi. Selon l’ancien directeur juridique de la CNIL Guillaume Desgens-Pasanau, avec le nouveau règlement, « les professionnels ne pourront plus désormais s’abriter derrière le paravent des formalités préalables ».
Le DPO vient alors succéder au CIL en se voyant attribuer de nouvelles missions. Véritable gardien de la conformité en matière de protection des données au sein de son organisme, le DPO possédera un rôle central en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement des données personnelles. Sa désignation sera obligatoire dans de nombreux cas, et ces missions seront les suivantes :
- mission d’information et de conseil auprès du responsable du traitement des données et des employés ;
- mission de veille et de contrôle du respect du règlement et du droit national en matière de protection des données ;
- mission de conseil auprès de l’organisme dans la réalisation d’une analyse d’impact relative à la protection des données (il en vérifiera l’exécution) ;
- mission de coopération avec l’autorité de contrôle (la CNIL) (il sera le point de contact de celle-ci).
L’ensemble de ces missions s’inscrivent dans la nouvelle logique de responsabilisation des entreprises : le DPO sera donc, à travers ses connaissances et expériences dans le domaine, au centre de cette mise en conformité des organismes au RGPD et sera le partenaire privilégié des organismes. De plus, le règlement prévoit, du fait de son rôle et de la position qu’il occupe dans la stratégie de l’entreprise, une indépendance d’actions et une absence de sanction[4]. Concrètement, le DPO ne pourra ni se voir refuser une promotion ni se faire sanctionner pour l’exercice de ses missions, bénéficiera d’un positionnement hiérarchique adéquat… Ces garanties, que l’on peut rapprocher sur certains points à la figure du lanceur d’alerte, sont nécessaires afin d’assurer de manière efficace la création d’un régime permettant de protéger les individus tout en assurant un environnement juridique favorable au développement de l’économie de la donnée.
Le RGPD vient donc modifier la manière de conformer les organismes de traitement de données personnelles à la loi. Cette évolution, qui prend la forme d’une responsabilisation accrue et de la création du DPO, devra s’accompagner d’un renforcement important du rôle des autorités de contrôle comme la CNIL. Avec la suppression des formalités préalables qui constituait une part importante de son activité, son travail est désormais axé sur la publication de repères et de recommandations visant à orienter les responsables de traitement dans leurs opérations de mise en conformité (études d’impact, analyses de faisabilité juridique, audits…) ce qui nécessite pour elle une transformation importante. Au niveau des sanctions, il lui sera désormais possible de prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
Mais actuellement, ses statistiques concernant les sanctions pécuniaires prononcées restent particulièrement décevantes : en 2015, sur les 10 sanctions prononcées par la CNIL, seulement 3 constituent des sanctions pécuniaires[5]. L’équilibre du règlement européen et la crédibilité de son régime reposent désormais sur les pouvoirs de sanction a posteriori, à charge pour les autorités de contrôle comme la CNIL de s’en saisir. Dans le cas contraire, le niveau global de protection des personnes pourrait bien diminuer. Il faut également noter que le RGPD s’inscrit dans une logique de conciliation des intérêts et non pas de protection absolue des données personnelles et de la vie privée : le consentement préalable de la personne concernée au traitement de données est toujours soumis à de nombreuses et larges exceptions, l’analyse de conformité d’un traitement de données à la loi s’effectuera sur la base du principe de proportionnalité, le nouveau droit à la portabilité des données prévu par le RGPD valide une conception économique de la donnée…
Les données personnelles sont aujourd’hui liées à une logique de transparence : les internautes interagissent de plus en plus entre eux, le commerce électronique jouit d’un succès immense et l’évolution des appareils permet d’être connecté en permanence. Mais face à tant de traces laissées sur le web, il en faut peu pour que cette transparence glisse vers une perte de contrôle totale des données personnelles. Le DPO sera alors en première ligne afin d’assurer, dans les limites de la loi, le régime le plus protecteur des individus. Son travail de sensibilisation des acteurs sera d’autant plus important : la reprise de contrôle par les internautes de leurs données passera avant tout par l’information.
Longue vie au DPO.
Benjamin Baratta
1ère année Master IP/IT
Sources :
- http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf (les lignes directrices du G29)
- http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679 (le RGPD)
- https://www.cnil.fr/fr/cil-un-metier-davenir
- https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
- RGPD : entre incertitudes et occasions manquées – Guillaume Desgens-Pasanau – Dalloz IP/IT 2016. 335
- https://lauremarino.blogspot.fr/2012/11/notre-vie-privee-des-little-data-aux.html
[1] Cette organisation, qui réunit les autorités de contrôle chargées de la protection des données personnelles de chaque pays membre de l’UE, a pour mission de d’adopter des recommandations pour contribuer à l’élaboration des normes européennes, de rendre des avis sur le niveau de protection dans les pays hors UE et de conseiller la Commission européenne sur tout projet ayant une incidence sur la protection des données et des libertés des personnes.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (RGPD)
[3] Les règles seront applicables à toutes les entreprises ciblant les consommateurs de l’UE, indépendamment du fait qu’elles soient établies à l’intérieur ou à l’extérieur de l’UE, et les entreprises basées en dehors de l’UE doivent respecter les mêmes normes que celles qui proposent des biens et des services sur le marché de l’UE
[4] article 38 paragraphe 3 du RGPD : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. »
[5] https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015_0.pdf (page 92)