Un délégué à la protection des données (DPD) a-t-il un rôle à jouer dans l’implémentation du RGPD d’une entreprise ? Cela semble une évidence, mais la réponse à cette question est plutôt nuancée.
Implémentation RGPD dans la pratique
Si l’on observe l’évolution du droit à la protection des données dans le temps, force est de constater que le principe de ‘responsabilité’ ne fait que gagner en importance. Dans le droit à la protection des données, l’accent est de plus en plus mis sur le respect des règles. Le régulateur a ainsi littéralement repris le terme ‘responsabilité’ dans les principes de base du règlement européen sur la protection des données, le RGPD.
Dans la pratique, cela signifie pour les entreprises qu’elles doivent prévoir toutes sortes de procédures, documents et analyses démontrant vis-à-vis d’une autorité de contrôle qu’elles traitent les données à caractère personnel de manière correcte. Il s’agit concrètement de l’établissement d’un registre des activités de traitement, de la réalisation d’une analyse de risque en cas de traitements à risque, de la conclusion de contrats et d’accords avec des partenaires avec lesquels des données à caractère personnel sont échangées, de la notification obligatoire des violations et de la désignation d’un délégué à la protection des données (DPD).
Les entreprises doivent donc s’atteler à transposer les obligations qui leur sont imposées par le RGPD dans la pratique. Un récent rapport de l’Autorité de protection des données indique que les entreprises ne sont pas encore suffisamment informées des différentes obligations qui leur incombent. Quoi qu’il en soit, leur parcours d’implémentation débutera par l’acquisition personnelle de connaissances ou par la désignation d’un expert, voire même d’un DPD. Mais un DPD peut-il être impliqué dans l’implémentation et la préservation des obligations susmentionnées ?
Le rôle indépendant
Le point de départ pour répondre à cette question est l’indépendance qui est liée au rôle du DPD. On entend par indépendance que le DPD est considéré comme un conseiller, une source d’inspiration et un contrôleur. Confier l’implémentation au DPD comporte autrement dit un certain risque : il est possible que le ‘contrôleur’ doive apprécier sa propre implémentation. Il devient ainsi à la fois juge et partie, ce qui nuit à l’indépendance.
En pratique, le DPD peut être davantage impliqué dans la gestion de l’entreprise que cela n’est admis au sens strict. Les organisations n’ont ni la capacité, ni la culture pour désigner une personne qui donne ses ordres sans mettre elle-même la main à la pâte. En outre, le domaine de la protection des données est encore récent, ce qui fait en sorte que les DPD fraîchement formés collaborent volontiers à l’implémentation des obligations afin d’acquérir de l’expérience sur ce qui fonctionne et ne fonctionne pas au sein d’une organisation. Il ressort de nos observations que le DPD est dans de nombreux cas chargé de l’implémentation du RGPD dans l’entreprise.
Le DPD en tant qu’un implementor
Comment le DPD peut-il participer à l’implémentation sans violer le principe d’indépendance ? Nous énumérons dans le tableau ci-dessous quelques obligations importantes imposées par le RGPD. Nous indiquons pour chaque obligation dans quelle mesure le DPD peut aider à les implémenter.
Obligation | Rôle du DPD |
Registre des activités de traitement | Le DPD peut tenir le registre à jour. Ce registre peut en effet servir pour le DPD de tableau de bord ou de point de référence. Il faudra toutefois généralement aller chercher les connaissances qui sont nécessaires pour compléter le registre auprès des collaborateurs de l’entreprise. |
Analyse d’impact relative à la protection des données | Une telle analyse ne peut pas être effectuée par le DPD. Le DPD joue en effet un rôle consultatif explicite dans cette analyse de risque. Le DPD peut toutefois (aider à) définir la méthodologie et contribuer à déterminer les échelles de risque. Le DPD peut aussi donner des formations sur la manière dont l’analyse doit être réalisée. |
Exercice des droits de la personne concernée | Lorsqu’un client réclame des données ou souhaite consulter ou effacer des données, il convient en premier lieu de vérifier si le client concerné a effectivement droit au traitement demandé. Ceci requiert généralement une analyse juridique dans le cadre de laquelle le DPD peut apporter son aide. Le DPD doit conseiller la direction (éventuellement sur la base de conseils au cas par cas ou d’accords-cadres). La direction peut toutefois ne pas tenir compte de l’avis d’un DPD et rejeter une demande de consultation, par exemple, même si le DPD conseille d’accéder à la demande. Il semble moins évident que le DPD accomplisse cette tâche dans de telles situations : le DPD doit alors agir à l’opposé de l’avis qu’il a donné. Conclusion : en pratique, le DPD est souvent chargé de ces tâches, mais une bonne entente avec la direction est toujours indispensable. Confier cette tâche au DPD n’est autrement dit pas une meilleure pratique. Le DPD ne peut l’accomplir qu’à condition d’avoir des accords clairs avec la direction et de fournir un feed-back à celle-ci. |
Notification/communication des fuites de données | Le même raisonnement que pour l’exercice des droits de la personne concernée s’applique à cette obligation. Le DPD peut aider avec les obligations administratives concernant la notification à l’autorité de contrôle et la communication à la personne concernée en cas de violation. La décision de procéder ou non à la notification et à la communication est prise par la direction, sur les conseils du DPD. En pratique, c’est souvent le DPD qui procède à la notification effective. La communication est en pratique de préférence faite par un expert en communication, après approbation par la direction et sur les conseils du DPD. |
Sécurité de l’information et protection des données dès la conception ou par défaut | La mission la plus technique est la sécurisation de l’information. Il s’agit dans la pratique souvent de l’implémentation de mesures techniques. La mesure dans laquelle le DPD sécurise effectivement les données ou intègre des systèmes de sécurité dépend autrement dit en premier lieu des connaissances du DPD. Combiner la fonction de DPD avec la tâche d’expert en sécurité opérationnel n’est toutefois pas recommandé et même à déconseiller. |
Contrats avec des partenaires | Les accords contractuels qui doivent être conclus avec un partenaire vont souvent plus loin que la protection des données. Nous nous concentrons ici uniquement sur les accords qui traitent de la protection des données : le contrat de sous-traitance. Dans la pratique, le DPD négociera souvent lui-même ce contrat avec les fournisseurs. Le DPD conseillera en fin de compte à la direction de signer ou ne pas signer le contrat. Le DPD doit à cet égard également informer le responsable du traitement d’éventuels manquements. Une fois le contrat signé, il importe également d’en assurer le suivi : le DPD peut apporter son aide à cet égard en sa qualité de contrôleur de la protection des données. |