La fonction de délégué à la protection des données
Bien qu’elle implique une totale indépendance de son dépositaire, ne lui confère pas le statut de salarié protégé (Rép. Raynal n° 02896, JO 7 février 2019, Sénat quest. p. 712).
Le Règlement Européen n° 2016/679 sur la protection des données personnelles, dit RGPD (Règlement général sur la Protection des Données), est entré en vigueur le 25 mai 2018.
Il met en place une logique de responsabilisation des entreprises qui les conduit à mettre en conformité leurs traitements de données tout au long de la vie.
La désignation d’un délégué à la protection des données (DPO) est recommandée.
La désignation d’un DPO est obligatoire dans les cas suivants :
– le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
– les activités de base du responsable de traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
– les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles (données de santé par exemple).
Le DPO succède au “correspondant informatique et libertés” (CIL) qui disposait d’attributions similaires.
Désigné au sein de l’entreprise ou en externe, le DPO est chargé de mettre en œuvre la conformité au RGPD au sein de l’entreprise. « Chef d’orchestre » de la protection des données au sein de l’entreprise, il est notamment chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés en matière de protection des données.
Le DPO a la tâche de contrôler le respect du RGPD. Il peut notamment :
- recueillir des informations permettant de recenser les activités de traitement ;
- analyser et vérifier la conformité des activités de traitement ;
- informer et conseiller le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention
- Coopérer avec la Cnil et être son point de contact
L’indépendance du DPO
Ces missions ne peuvent être menées à bien sans une certaine indépendance vis-à-vis du responsable du traitement.
Le DPO doit ainsi être protégé contre toute forme de pression ou de représailles liées à l’exercice de ses missions.
Cette problématique a récemment suscité une question d’un sénateur auprès du ministère du travail.
Le 7 février 2019, le ministère lui a répondu en rappelant dans un premier temps que “le responsable du traitement et le sous-traitant veillent à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions” et que “le DPO ne peut être relevé de ses missions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions” (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016, art. 38 § 3).
Par la suite, le ministère précise que le législateur n’a pas souhaité aller plus loin et conférer le statut de salarié protégé au DPO. Le DPO n’est donc pas un salarié protégé, statut qui bénéficie notamment aux représentants du personnel ou aux conseillers prud’homaux.
Il bénéficie toutefois d’un statut protecteur en ce sens qu’il est interdit de sanctionner un salarié DPO en raison de l’exercice de ses fonctions.
Une sanction ou un licenciement abusif pourraient être lourd de conséquence pour l’entreprise car serait considérés comme une violation du RGPD.
