L’entrée en vigueur du règlement européen sur la protection des données interviendra le 25 mai 2018. D’ici là, les entreprises qui administrent des fichiers de données à caractère nominatif sont invitées à faire évoluer leurs processus de traitement afin qu’ils respectent les exigences de la nouvelle réglementation. Exigences parmi lesquelles se trouve la nomination d’un délégué à la protection des données (DPO, pour « data protection officer). Un homme clé dont le G29 (groupe des « Cnil » européennes) a récemment tracé le portrait-robot.

Une désignation obligatoire dans certains cas

Si les autorités et les organismes publics ont toujours l’obligation de désigner un délégué à la protection des données, les entreprises n’y sont tenues que lorsque leurs activités de base (gestion du fichier patients dans un hôpital, gestion des enregistrements vidéo dans une société de sécurité, par exemple) « les amènent à réaliser un suivi régulier et systématique des personnes » à grande échelle (données clients d’un assureur ou d’une banque, traitement des données par une application web de type moteur de recherche, par exemple) et/ou « les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions ». Dans les autres cas, la désignation d’un DPO n’est pas obligatoire même si elle conseillée par le G29. Le DPO peut être choisi parmi les collaborateurs de l’entreprise ou être un intervenant externe (prestataire, DPO mutualisé par plusieurs structures).

Des compétences juridiques

Si aucun profil type de DPO n’est proposé par le G29, des compétences sont attendues. Le DPO doit ainsi maîtriser le cadre juridique de la protection des données personnelles. Il doit, en outre, avoir une bonne connaissance de l’activité de l’entreprise pour laquelle il effectue ses missions de DPO (organisation, systèmes d’information, rôle des données dans l’activité de l’entreprise…). Son positionnement doit, par ailleurs, lui permettre d’être entendu par les décideurs et les responsables des traitements de données mis en œuvre. Pour garantir sa liberté d’action, il ne doit pas être choisi parmi les personnes qui déterminent la finalité et les moyens de traitement des fichiers administrés ni parmi les conseils de l’entreprise ayant pour mission, par exemple, de défendre ses intérêts en cas de contentieux portant sur le sujet.

Ses missions

Le DPO a pour mission de s’assurer que son entreprise respecte la réglementation en matière de protection des données personnelles. Il assiste les responsables des traitements et les autres employés impliqués en les informant, en les conseillant mais également en « contrôlant » la mise en œuvre de leurs fichiers. En outre, le DPO est l’interlocuteur privilégié de l’organisme de contrôle, la Cnil, avec laquelle il doit coopérer. Sur ce dernier point, il est important de préciser que le DPO ne peut être tenu pour responsable du non-respect de la réglementation par l’entreprise. Seuls les responsables du traitement ou leurs éventuels sous-traitants engagent leur responsabilité en cas de non-conformité. Enfin, il faut également savoir que si le DPO n’est pas un salarié protégé, comme le sont les délégués du personnel par exemple, il ne peut être sanctionné ou voir sa carrière freinée en raison des actions menées dans le cadre de sa mission.

Les Echos Publishing 2017