Valérie Michaud répond aux questions de Diane Bonifas, DPO de la Fonda.
Je viens d’être désigné DPO au sein de ma structure : ai-je une action à mettre en place dès demain ?
Valérie Michaud: La désignation d’un DPO1 est officiellement enregistrée sur le site de la Commission nationale de l’informatique et des libertés (Cnil) par l’intermédiaire d’un formulaire en ligne.
La première action est donc de se faire connaitre et reconnaitre.
Cette désignation, les missions, responsabilités du DPO et l’engagement de la gouvernance doivent être communiqués aux collaborateurs et aux instances des représentants du personnel (IRP). Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions » selon l’article 37 du Règlement général sur la protection des données (RGPD).
Si cette mission est nouvelle pour la personne concernée, elle doit donc se former, idéalement avant la désignation. Puis il faut prioriser les actions à mettre en place. Pour évaluer les priorités, il faut procéder à un état des lieux des traitements existants et commencer prioritairement par ceux qui portent sur l’activité principale de l’organisme et ceux qui présentent les risques les plus importants.
En tant que DPO, quelle est l’étendue de ma responsabilité ? Quel est mon rôle auprès du responsable du traitement ? Auprès de mes collègues ? Auprès de la Cnil ?
La fonction de DPO est réglementée et définie avec précision dans les articles 37 à 39 du RGPD.
Ses missions sont :
- Informer et conseiller le responsable de traitement2 ou le sous-traitant3 , ainsi qu’informer et sensibiliser leurs employés ;
- Contrôler le respect du règlement et du droit national en matière de protection des données ;
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact4 relative à la protection des données et en vérifier sa mise en oeuvre ;
- Coopérer avec l’autorité de contrôle (la Cnil) et être le point de contact de celle-ci.
Le DPO n’est pas personnellement responsable en cas de manquement aux obligations prévues par le RGPD. C’est l’organisme qui est responsable du respect du RGPD. Le DPO est soumis au secret professionnel et fait directement rapport au niveau le plus élevé de la hiérarchie. Il ne reçoit aucune instruction en ce qui concerne l’exercice de ses missions et ne peut être relevé de ses fonctions ou pénalisé du fait de cet exercice.
Afin d’être sûr de pouvoir exercer sa mission de manière indépendante, il est recommandé de mettre en place une lettre de mission, qui rappelle le contexte de la désignation, précise les missions, les prérogatives, les moyens dont dispose le DPO et liste les engagements du responsable de traitement. Pour les DPO externes, cela prendra la forme d’un contrat de prestation.
Quelle est ma mission centrale et quelles sont mes missions plus secondaires en tant que DPO ? Quels sont les outils à ma disposition pour les mener à bien ?
La mission centrale du DPO est d’accompagner l’organisme pour lequel il est désigné dans sa mise en conformité avec la règlementation en vigueur.
Il doit auditer, informer et conseiller sur la conformité des projets et traitements en cours ou à venir.
Pour mener à bien sa mission il peut s’appuyer sur le registre, qui est le document d’inventaire obligatoire et d’analyse de l’ensemble des traitements. C’est l’outil de pilotage de la conformité de l’organisme. La constitution du registre permet aussi d’aller au contact des collaborateurs, de recueillir les informations pertinentes, de sensibiliser les métiers à la règlementation en vigueur, et de promouvoir une culture de la protection des données.
Le DPO doit être formé. Le choix de la formation dépendra de ses connaissances préalables, du temps à y consacrer et du secteur d’activité. Il est aussi indispensable de maintenir une veille documentaire et informationnelle sur le sujet, avec des formations, des conférences, des webinaires, mais aussi des abonnements juridiques. Pour tout cela, la Cnil est une mine de ressources. Il existe des associations de DPO, par exemple l’Association française des correspondants à la protection des données personnelles (AFCDP), qui rassemblent des professionnels de la protection des données et permettent un nécessaire partage de connaissances, de mises en pratique et une représentation sectorielle auprès de la Cnil.
Quelles sont les difficultés régulièrement rencontrées par les DPO ? Comment lever ces difficultés ?
Le DPO est soumis à une combinaison complexe entre les contraintes et les moyens (humains, organisationnels, etc.) dont il dispose. Le DPO peut manquer de temps et rencontrer des difficultés dans la tenue du planning de mise en conformité. C’est d’autant plus vrai pour les DPO à temps partiel. Le DPO peut souffrir d’un manque d’accès aux informations qui sont pourtant indispensables pour l’exercice de ses missions. Il peut se sentir isolé, voire exclu. Or, la conformité des traitements de l’organisme et la mise en oeuvre opérationnelle concernent l’ensemble des professionnels de l’organisme.
Le DPO doit pouvoir travailler avec tous les collaborateurs. Les recommandations sur la conformité d’un traitement peuvent générer des tensions avec les collaborateurs, les responsables Métiers ainsi que la Direction. Les difficultés sont nombreuses mais dépendent essentiellement du soutien et de l’implication de la direction de l’organisme. La lettre de mission est un des moyens de définir les missions et surtout de partager les attentes et les objectifs avant la prise de poste. Une charte de déontologie peut également être signée par les deux parties. Le dialogue et la sensibilisation sont aussi des leviers pour impliquer le plus grand nombre.
Comment impliquer les équipes pour ne pas tout porter seul ?
La direction joue un rôle clé dans l’adhésion au projet de la protection des données et doit mettre en valeur les missions du DPO. La constitution du registre est l’occasion d’échanger avec les collaborateurs. Le DPO doit communiquer et adapter le discours au public concerné. Des sessions de sensibilisation transverses peuvent d’ailleurs être organisées à destination des collaborateurs et des nouveaux salariés.
Le DPO peut prévoir des temps de sensibilisation conviviaux comme des quizz. L’information et la sensibilisation peuvent également prendre la forme de newsletters, de fiches pratiques, et de mise à disposition d’une page sur l’intranet de la structure. Selon la taille et l’implantation géographique de l’organisme, il peut être opportun de mettre en place des « relais » ou des personnes référentes et de les former. C’est particulièrement intéressant pour les DPO externes.
Comment le RGPD a-t-il évolué au cours des dernières années ? Quelle est la politique de contrôle de la Cnil concernant plus spécifiquement les associations ?
La mise en application du RGPD a permis une plus grande sensibilité du grand public à l’enjeu de la protection des données et une prise de conscience des entreprises de la nécessité d’opérer une mise en conformité par rapport aux traitements qu’elles opèrent.
Tout organisme traitant des données à caractère personnel disposant d’un établissement en France, ou concernant des personnes résidant en France peut être contrôlé. Les contrôles font suite à des plaintes et des signalements de violations de données5 ou sont en lien avec l’actualité. Il y a également un programme de vérification annuelle des dispositifs de vidéo protection. À cela s’ajoute un plan de contrôle sur des sujets à forts enjeux. En 2023, les thématiques sont :
— L’utilisation des caméras « augmentées » par les acteurs publics
— L’utilisation du fichier des incidents de crédit aux particuliers
— La gestion des dossiers de santé
— Les applications mobiles
Les associations peuvent donc être une des thématiques décidées annuellement par la Cnil à l’avenir ou faire l’objet de plaintes. Pour donner un ordre de grandeur, en 2021 le secteur « santé/ social » représentait 7% du total des plaintes. En 2022, 8 associations ont été contrôlées.
- 1L’acronyme DPO est issu du terme anglais Data Protect Officer, qui correspond en français au Délégué à la protection des données (DPD). C’est l’acronyme anglophone qui est le plus utilisé dans les structures.
- 2Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
- 3Le sous-traitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation.
- 4Une analyse d’impact (ou PIA ou AIPD) sur la protection des données est une étude qui doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
- 5Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.