DPO (Data Protection Officer) : de son évolution et de son importance depuis l’entrée en vigueur du RGPD

Par Vanessa Younès-Fellous, avocate au Barreau de Paris et formatrice Lefebvre Dalloz Compétences

Cela fait déjà quatre ans que le métier de DPO existe. Il a en effet été créé par le Règlement général sur la protection des données (dit RGPD) entré en vigueur le 25 mai 2018. Une étude du Ministère du travail sur le DPO a été publiée le 19 mai 2022. C’est l’occasion de faire le point sur ce métier récent nécessitant des compétences, une formation continue et dont le rôle est important dans le cadre de la mise en conformité aux dispositions du RGPD.

1. De l’évolution du DPO

Dans son 42ème rapport d’activité de 2021 publié le 11 mai 2022, la CNIL a précisé que le nombre de DPO[1] a augmenté. En effet, 28810 DPO (personnes physiques et morales, internes et externes confondues) ont été désignés en ligne (via le téléservice dédié) auprès de la CNIL pour 81393 organismes. Rappelons qu’en 2018, ils étaient 21000 DPO et qu’un DPO peut être désigné pour plusieurs organismes. La CNIL a également relevé qu’un tiers des DPO appartiennent au secteur public. Les résultats de l’étude[2] de 2021 publié en mai 2022 sur le métier de DPO pilotée par le Ministère du travail et qui a reçu en particulier le soutien de la CNIL et de l’AFCDP mettent en exergue notamment que le profil des DPO a évolué. En effet, le DPO est soit interne (à 72 %) soit interne mutualisé soit externe à l’organisme. Son profil s’est diversifié (47 % des DPO sont issus d’autres domaines d’expertise que le droit et l’informatique tel que par exemple des profils administratifs et financiers ou en lien avec la qualité ou la conformité-audit) et ses moyens et sa formation sont en baisse (78% des DPO internes et mutualisés exercent leur fonction à temps partiel en plus d’une autre fonction ; 76% des DPO travaillent seuls et sans équipe ; 1/3 n’ont suivi aucune formation Informatique et Libertés/RGPD[3] depuis 2016). Précisons que cette enquête a été réalisée en septembre et octobre 2021 auprès de 1811 DPO désignés auprès de la CNIL (soit 1306 DPO internes, 248 DPO internes mutualisés et 257 DPO externes).  

Le DPO doit avoir des qualités professionnelles et, en particulier, des connaissances spécialisées du droit et des pratiques en matière de protection des données pour accomplir ses missions selon l’article 37 5° du RGPD. De plus, il doit disposer des ressources nécessaires et doit entretenir ses connaissances spécialisées comme le précise l’article 38 2° du RGPD. En effet, la règlementation applicable à la protection des données personnelles est « vivante » et par voie de conséquence la formation continue du DPO est essentielle au bon accomplissement de ses missions. Le DPO doit se tenir à jour des actualités juridiques et techniques sur les données personnelles (telles que par exemple le dernier communiqué de la CNIL du 7 juin 2022 « Google Analytics et transfert de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD »[4]) qui peuvent impacter l’organisme qui l’a désigné dans sa mise en conformité au RGPD.

2. De l’importance du DPO dans la gouvernance des données

Comme l’a précisé la CNIL notamment dans son dernier rapport d’activité, le DPO occupe une place centrale dans la gouvernance des données. C’est celui qui informe et conseille l’organisme l’ayant désigné au regard de la règlementation applicable à la protection des données personnelles, le contrôle pour vérifier le respect de cette règlementation et coopère en étant son point de contact auprès de la CNIL comme le précise l’article 39 du RGPD. Pour ce faire, le DPO travaille avec l’ensemble des directions de l’organisme et identifie et coordonne différentes actions telles que par exemple la mise en place de différents process/procédures et des formations pour sensibiliser en interne à la protection des données personnelles aux fins d’éviter à l’organisme qui l’a désigné le triptyque plaintes/contrôles/sanctions de la CNIL. Ses conseils et actions sont importants au regard des enjeux et risques pour son organisme (responsable de traitement ou sous-traitant) qui est, au regard du RGPD, seul tenu de s’assurer et d’être en mesure de démontrer de son respect de la règlementation applicable à la protection des données. Comme l’a indiqué la CNIL dans son dernier rapport « S’il n’est pas responsable de la conformité de l’organisme, il (le DPO) en est un rouage essentiel, capable d’allier expertise et conseil à toutes les étapes des projets impliquant l’utilisation de données personnelles ».

Soumis au secret professionnel ou à une obligation de confidentialité, le DPO doit également exercer ses missions en toute indépendance, sans conflit d’intérêts c’est-à-dire qu’il ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitements de données personnelles. Par exemple, en 2020, la CNIL belge a sanctionné un organisme au paiement d’une amende de 50 000 euros pour manquement à l’obligation d’éviter tout conflit d’intérêts dans le cadre de la désignation de son DPO. Les organismes doivent donc bien choisir leur DPO et être en capacité de prouver, en cas de contrôle de la CNIL, que leur choix répond aux exigences du RGPD (connaissances et compétences, absence de conflit d’intérêts, etc.) comme indiqué dans le guide CNIL du DPO publié en avril 2022.

Rappelons que cette désignation auprès de la CNIL est obligatoire selon l’article 37 1°du RGPD  tout d’abord, pour les organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ; ensuite pour les entreprises dont l’activité de base exige un suivi régulier et systématique des personnes à grande échelle[5]; et enfin pour les entreprises dont l’activité de base consiste en un traitement à grande échelle de données « sensibles » ou relative à des condamnations pénales et infractions. En cas de non-respect de cette obligation, l’organisme (responsable de traitement ou sous-traitant) concerné est susceptible d’être sanctionné conformément à l’article 83 4° du RGPD d’une amende administrative de la CNIL pouvant s’élever à 10 millions d’euros ou, à 2% de son chiffre d’affaires annuel mondial dans le cas d’une entreprise. En dehors des cas de désignation obligatoire susvisés, la désignation du DPO est facultative ; les autres dispositions du RGPD devant être respectées.

En mai 2022, la CNIL a mis en demeure 22 communes de plus de 20000 habitants qui n’avaient pas désigné de DPO de s’y conformer dans les quatre mois. Ces mises en demeure ont également été rendues publiques[6] notamment sur le site de la CNIL compte tenu de la sensibilité des missions des communes et des fichiers associés, de l’importance des fonctions du DPO dans la mise en œuvre des traitements par des acteurs publics et de la nécessité d’informer les administrés.