Trois sanctions ont récemment été délibérées (n°18FR/2021, 19FR/2021 et 20FR/2021) par la CNPD, la CNIL du Luxembourg, dans le cadre de son opération d’audits ciblés sur le sujet des moyens donnés par le Responsable des traitements (RT) à son Délégué à la protection des données (DPO). Ces délibérations sont intéressantes dans la mesure où elles rappellent que la désignation d’un DPO, loin d’être une simple formalité, est un acte engageant la responsabilité du RT, que ce soit une désignation interne (un⋅e salarié⋅e) ou une désignation externe. Retour sur ce rôle clef dans les organisations, aux contraintes tout aussi réglementaires que stratégiques pour la sécurité des données :

Les trois sociétés auditées sont issues de secteurs très différents : coassurance et réassurance, transports… et leur identité est conservée « confidentielle » par la CNPD. L’audit de contrôle s’est déroulé en deux temps, commençant tout d’abord par l’envoi d’un questionnaire, suivi d’échanges écrits sur la base des réponses préliminaires.

Les trois contrôles ayant amené à des décisions publiques ont conclu sur un rappel à l’ordre et deux amendes (18.000 et 15.000€), sur la base des violations suivantes :

Article du RGPDExigence détaillée18FR/202119FR/202120FR/2021
38.1Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.xx
38.2Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.x
38.3Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.x
38.6Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.x
39.1.aMission du DPO: informer et conseiller (…)xx
39.1.bMission du DPO: contrôler le respect du présent règlement (…)x

Les infractions relevées ne mettent pas en lumière la totalité des exigences s’imposant aux responsables des traitements en ce qui concerne leur DPO, mais révèlent qualitativement des manquements très communs. Cet état des lieux permet de mieux se rappeler les pièges d’une désignation d’un DPO non suivie de changements organisationnels importants. Le rôle de DPO n’a pas été précisé par le législateur pour simplement « cocher une case », mais bien pour amener les organisations à évoluer dans leur gestion des traitements de données à caractère personnel.

Le travail du CNPD met aussi en lumière les risques juridiques d’une désignation superficielle de son DPO, les amendes imposées représentant un budget qui aurait probablement permis la mise en place de mesures fortes en matière de protection des données.

Dans le détail …

Les délibérations du CNPD se fondent sur la loi, mais également sur les différentes lignes directrices du CEPD, dont le document WP243 rev.01 relatives aux DPO. Le CNPD rappelle ainsi les bonnes pratiques pour chaque exigence :

Art.38.1 Associer le DPO

Le DPO doit être associé de manière appropriée et en temps utile à toutes les questions relatives à la protection des données et ce en faisant en particulier :

  • inviter le DPO à participer régulièrement aux réunions de l’encadrement supérieur et intermédiaire;
  • recommander la présence du DPO lorsque des décisions ayant des implications en matière de protection des données sont prises;
  • prendre toujours dûment en considération l’avis du DPO;
  • consulter immédiatement le DPO lorsqu’une violation de données ou un autre incident se produit.

Art.38.2 Fournir les ressources nécessaires

Pour que l’organisme aide son DPO « à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées », il convient de fournir :

  • « le temps suffisant pour que les DPD puissent accomplir leurs tâches. Cet aspect est particulièrement important lorsqu’un DPD interne est désigné à temps partiel ou lorsque le DPD externe est chargé de la protection des données en plus d’autres tâches. Autrement, des conflits de priorités pourraient conduire à ce que les tâches du DPD soient négligées. Il est primordial que le DPD puisse consacrer suffisamment de temps à ses missions. Il est de bonne pratique de fixer un pourcentage de temps consacré à la fonction de DPD lorsque cette fonction n’est pas occupée à temps plein. Il est également de bonne pratique de déterminer le temps nécessaire à l’exécution de la fonction et le niveau de priorité approprié pour les tâches du DPD, et que le DPD (ou l’organisme) établisse un plan de travail ;
  • l’accès nécessaire à d’autres services, tels que les ressources humaines, le service juridique, l’informatique, la sécurité, etc., de manière à ce que les DPD puissent recevoir le soutien, les contributions et les informations essentiels de ces autres services ».

Le CNPD rappelle également que « [d]’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé ».

Art.38.3 Autonomie du DPO et rapport au niveau le plus élevé

Le CNPD rappelle que l’organisme doit veiller à ce que le DPO « ne reçoive aucune instruction en ce qui concerne l’exercice des missions » et que le DPO « fasse directement rapport au niveau le plus élevé de la direction » de l’organisme. Pour ce faire « les DPO :

  • ne doivent pas recevoir d’instructions sur la façon de traiter une affaire, par exemple, quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle;
  • ne peuvent être tenus d’adopter un certain point de vue sur une question liée à la législation en matière de protection des données, par exemple, une interprétation particulière du droit.

Si le responsable du traitement ou le sous-traitant prend des décisions qui sont incompatibles avec le RGPD et l’avis du DPO, ce dernier devrait avoir la possibilité d’indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs. À cet égard, l’article 38, paragraphe 3, dispose que le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. Une telle reddition de compte directe garantit que l’encadrement supérieur (par ex., le conseil d’administration) a connaissance des avis et recommandations du DPO qui s’inscrivent dans le cadre de la mission de ce dernier consistant à informer et à conseiller le responsable du traitement ou le sous-traitant. L’élaboration d’un rapport annuel sur les activités du DPO destiné au niveau le plus élevé de la direction constitue un autre exemple de reddition de compte directe. »

Art.38.6 Absence de conflits d’intérêts

« Le DPO peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. » de manière que « le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement » Et Le CNPD de rappeler quelques fonctions susceptibles de donner lieu à un conflit d’intérêts :

  • les fonctions d’encadrement supérieur (par exemple: directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique),
  • les autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement,
  • représentation du responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

De plus, le CNPD rappelle que, pour éviter ces conflits d’intérêt, et ce en fonction des activités, de la taille et de la structure de l’organisme, les responsables du traitement ou les sous-traitants pourraient :

  • recenser les fonctions qui seraient incompatibles avec celle de DPO;
  • établir des règles internes à cet effet, afin d’éviter les conflits d’intérêts;
  • inclure une explication plus générale concernant les conflits d’intérêts;
  • déclarer que le DPO n’a pas de conflit d’intérêts en ce qui concerne sa fonction de DPO, dans le but de mieux faire connaître cette exigence;
  • de prévoir des garanties dans le règlement intérieur de l’organisme, et de veiller à ce que l’avis de vacance pour la fonction de DPO ou le contrat de service soit suffisamment précis et détaillé pour éviter tout conflit d’intérêts.

Dans ce contexte, il convient également de garder à l’esprit que les conflits d’intérêts peuvent prendre différentes formes selon que le DPO est recruté en interne ou en externe.

Art. 39.1.a Informer, conseiller

L’une des missions du DPO est d’ « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ».

Dans les cas d’espèces contrôlés :

  • les rapports d’un DPO mutualisé au sein d’un groupe ne parviennent pas aux directions des filiales;
  • les salariés sont insuffisamment formés;
  • les manquements du DPO peuvent être intimement liés au manque de ressources alloués (RGPD art.38.1) ou au manque de démontrabilité des actions du DPO.

Art.39.1.b Contrôler le respect du RGPD

Le DPO a, entre autres, la mission de « contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ». Le considérant (97) précise que le DPO devrait aider l’organisme à vérifier le respect, au niveau interne, du RGPD. Pour illustrer cela le CNPD rappelle quelques bonnes pratiques :

  • recueillir des informations permettant de recenser les activités de traitement;
  • analyser et vérifier la conformité des activités de traitement;
  • informer et conseiller le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention.

À ce niveau, le registre des traitements (RGPD art.30) est un outil pivot de la mission de contrôle du DPO, en tant que véritable état des lieux et cartographie des traitements.