Règlement européen sur la protection des données personnelles : L’Avocat ; un Délégué à la Protection des Données en puissance

Il existe depuis la modification de la loi informatique et libertés en août 2004 une possibilité pour les entreprises, selon leurs tailles, de désigner un Correspondant informatique et libertés (ci-après CIL).

Du fait du récent Règlement européen sur la protection des données applicable à compter de mai 2018, ce qui n’était qu’une possibilité (1) deviendra, selon les traitements effectués par les entreprises, une véritable obligation (2).

Le rôle de celui que le Règlement désigne désormais comme étant un Délégué à la Protection des données (3) l’obligera à présenter un certain nombre de qualités (4), lesquelles sont incontestablement présentes chez un avocat intervenant régulièrement dans le domaine du droit des données à caractère personnel (5).

  1. L’avènement du Correspondant informatique et libertés en 2004

Cela présente notamment l’avantage de dispenser les entreprises de différentes formalités préalables (déclarations) tout en leur permettant d’avoir à disposition un interlocuteur en mesure de veiller à la bonne application des dispositions figurant dans la loi précitée.

Ce CIL peut être désigné en interne ou être externe à la société, mais en vertu de l’article 44 du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978, seules les entreprises comprenant moins de 50 salariés ayant en charge la mise en œuvre de traitements pouvaient désigner un externe en tant que CIL.

Cette condition liée à la taille de l’entreprise n’est plus présente dans le Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD) qui a pour finalité de remplacer la directive 95/46/CE et d’instaurer un cadre général et unique pour la protection des données en Europe à compter de mai 2018.

  1. De l’opportunité de désigner un CIL à l’obligation de désigner un DPD en mai 2018

A compter du 25 mai 2018, le Règlement européen obligera un certain nombre de sociétés à désigner un délégué à la protection des données (ci-après DPD).

L’article 37 du Règlement européen impose, en effet, au responsable du traitement et au sous-traitant de désigner un délégué à la protection des données personnelles dans les 3 cas suivants :

  1. le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 » .

Dans un document intitulé « Guidelines on Data Protection Officers (‘DPOs’) » en date du 13 décembre 2016 (WP 243), le G29 a apporté des précisions utiles et pratiques sur les différentes situations dans lesquelles la désignation d’un DPD est obligatoire.

Ce sont des précisions d’autant plus utiles que le fait pour l’entreprise ou l’entité de ne pas désigner de DPD pourra occasionner pour celle qui était tenue de le faire une sanction allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (article 83 § 4 du Règlement).

En dehors de ces cas, la désignation d’un délégué à la protection des données est toujours possible.

  1. Le rôle du Délégué à la Protection des Données

Le rôle du délégué à la protection des données sera celui d’un chef d’orchestre de la conformité en matière de protection des données d’une entreprise.

Il sera chargé :

  • D’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • De contrôler le respect du règlement et du droit national en matière de protection des données
  • De conseiller l’entreprise sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
  • De coopérer avec l’autorité de contrôle (la CNIL) et d’être le point de contact de celle-ci

Ce même délégué s’informera régulièrement sur le contenu de nouvelles obligations en matière de gestion des données personnelles, sensibilisera l’entreprise sur l’impact de ces nouvelles règles, réalisera l’inventaire des traitements de données de l’entreprise, concevra des actions de sensibilisation et pilotera la conformité en continu.

Le DPD aidera également l’entreprise qu’il accompagne dans la prise en compte de la protection des données personnelles dès la conception du service ou du produit qu’elle propose et par défaut (privacy by design et privacy by default)

Le responsable du traitement ou le sous-traitant devront publier les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

  1. Les qualités que doit avoir le DPD

 Le DPD devra bénéficier de connaissance en droit des données à caractère personnel (a) ainsi que de garanties en terme d’indépendance (b).

     a) Une connaissance du droit des données à caractère personnel

Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du Règlement.

      b) Une indépendance par rapport à celui qu’il conseille

L’article 38 du Règlement dispose que : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».

Même si le DPD peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service, tout converge pour que ce rôle de conseil en législation nationale et européenne en termes de respect des données à caractère personnel soit tenu par un avocat.

  1. L’Avocat : Le DPD idéal

Le Barreau de Paris ainsi que le Conseil national du Barreau (CNB) avaient déjà voté un certain nombre de textes au Règlement intérieur du Barreau de Paris (RIBP) ou figurant au Règlement intérieur National (RIN) concernant les fonctions de CIL à savoir :

  • Une obligation de déclaration préalable auprès du Bâtonnier de Paris afin que cette qualité de correspondant à la protection des données personnelles soit ajoutée au registre des avocats parisiens (article P. 6.2.0.2).
  • Une obligation de « respecter les principes essentiels et les règles du conflit d’intérêts» pour l’avocat correspondant à la protection des données personnelles (article 6.2.2.1 du RIN)
  • Une obligation de respecter le secret professionnel à travers l’article 6.2.2.2 du RIN qui dispose que : « L’avocat correspondant à la protection des données personnelles doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client ».

Outre ces dispositions qui seront sans doute transposées au délégué à la protection des données d’ici à mai 2018, on s’aperçoit bien que le rôle de DPD, lequel dépasse largement les prérogatives attribuées au CIL, correspond naturellement aux attributions d’un avocat intervenant dans le droit des données à caractère personnel.

CONCLUSION :

Eu égard aux risques qui pèsent désormais sur les entreprises qui ne désigneraient pas un DPD alors que le Règlement les y oblige (10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu) ou qui ne respecteraient pas, faute de connaissances suffisantes, l’ensemble des obligations que le Règlement leur impose pourtant de respecter (jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu), certaines entreprises se dotent d’ores et déjà d’un avocat CIL qu’elles transformeront, dès le 25 mai 2018, en avocat délégué à la protection des données personnelles afin d’être en mesure de répondre aux obligations auxquelles elles seront tenues à compter à cette date.

En attendant et eu égard aux enjeux, il est essentiel que les entreprises déterminent rapidement si elles seront ou non tenues de désigner un DPD afin d’éviter d’être sanctionnées pour ne pas l’avoir fait dans les proportions indiquées précédemment et, le cas échéant, que ce même DPD détermine, via un audit des traitements, les actions préventives à mener afin de démontrer, en cas de contrôle de la CNIL, le strict respect des obligations auxquelles est tenue l’entreprise en matière de traitement des données à caractère personnel au regard de la loi informatique et libertés en vigueur, mais aussi de celles auxquelles elle sera tenue, dès le 25 mai 2018, à l’aune du Règlement européen.

Ce Règlement vise, en effet, à responsabiliser les entreprises qui gèrent des données à caractère personnel, qu’elles soient responsable de traitement ou sous-traitant.

La logique du Règlement, notamment à travers le principe dit d’accountability, est celui de la suppression des formalités préalables auprès des autorités de contrôle (CNIL nationales).

Dans ces conditions, sauf exception, il n’y aura donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel, ce qui mettra l’entreprise face à ses responsabilités dans la mise en œuvre des traitements de données à caractère personnel pour lesquels elle optera, sous les conseils avisés du Délégué à la Protection des Données qu’elle aura choisi.

Publicités

À propos de Sadry PORLON

Avocat au Barreau de Paris Docteur en Droit

Pas encore de commentaire... Lancez-vous!

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s