Le 29 mars dernier, la Commission nationale informatique et liberté (CNIL) mettait en ligne le formulaire de désignation d’un délégué à la protection des données (DPD), aujourd’hui pleinement opérationnel ; l’occasion de faire le point sur ces futurs acteurs centraux de la protection des données personnelles et de préciser à l’ensemble des acteurs publics qu’il leur est permis, dès aujourd’hui et au plus tard, idéalement, le 25 mai 2018, de procéder à la désignation de leur DPD.

D’emblée, il sera d’ailleurs reprécisé, ainsi que la Présidente de la CNIL n’a cessé de le rappeler à chacune de ses interventions, que le 25 mai 2018 prochain, date d’entrée en application du Règlement Général sur la Protection des Données (RGPD), ne sera pas un couperet.

Halte donc à toute idée reçue et aux décomptes qui envahissent la toile laissant suggérer le caractère buttoir de l’échéance, alors que le projet de loi relatif à la protection des données personnelles visant à mettre la loi CNIL du 6 janvier 1978 en conformité au RGPD n’est pas même encore voté par le Parlement !

A partir de mai 2018, il s’agira donc, plus raisonnablement, de l’ouverture d’une période transitoire d’entrée en application de cette nouvelle réglementation, dont les contours définitifs ne seront vraisemblablement connus qu’à la fin de l’année 2018, lorsque l’ordonnance de l’article 38 de la Constitution permettant une réécriture de la loi du 6 janvier 1978, annoncée dans le projet de loi précité, aura été ratifiée et que les décrets d’application seront parus.

Au 25 mai 2018, il ne sera donc pas demandé aux acteurs publics de démontrer leur parfaite conformité au RGPD mais d’avoir engagé le processus.

A ce stade, la seule urgence, est, à notre sens, celle pour tout acteur public de s’atteler à la désignation de son pilote (II), laquelle nécessite de prime abord de bien comprendre les missions qui lui seront confiées (I).

I- Le rôle du DPD et ses premières missions

Si des incertitudes persistent sur le rôle exact qu’auront à endosser les DPD et le futur statut qui sera conféré, dont on espère qu’ils seront précisés dans les mois à venir par la parution d’un document directif (lignes directrices de la CNIL ou acte réglementaire), de nombreux éléments permettent d’ores et déjà d’appréhender de façon générale les fonctions qui leur seront dévolues et à tout le moins les missions auxquelles ils devront s’atteler en priorité.

Au sein du RGPD, ce sont les articles 37, 38 et 39 qui précisent respectivement les conditions de la désignation, la fonction et les missions des DPD et, s’ils n’apportent pas une définition précise de ces DPD, la CNIL les qualifie, de façon particulièrement juste et éclairante de chefs d’orchestre de la conformité en matière de protection des données au sein de l’organisme qui les a désignés.

C’est donc cette image de chef d’orchestre de la conformité qu’il convient de retenir et qui transcrit, fidèlement, la pluralité des missions que les DPD devront exécuter et la diversité des interlocuteurs qu’ils devront accorder.

Ainsi que le synthétise la CNIL, les DPD auront en effet pour rôle :

• d’informer et de conseillerl’organisme qui les a désignés, ainsi que ses employés ;
• de contrôler le respect du règlement et du droit national en matière de protection des données ;
• de conseiller l’organismesur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
• d’être contacté par les personnes concernées pour toute question ;
• de coopérer avec la CNIL et d’être son point de contact.

En ce sens, sitôt désignés et idéalement désormais le plus vite possible, les DPD auront pour premières missions de réaliser un audit complet de tous les traitements de données existants au sein de la structure qui les a désignés.

Pour ce faire, ils pourront, dans un premier temps, solliciter de la CNIL l’envoi d’un récapitulatif de l’ensemble des traitements ayant fait l’objet d’une déclaration ou d’une demande d’autorisation auprès d’elle. 

Au-delà, il leur appartiendra de déterminer si d’éventuels traitements n’auraient pas été omis parce que moins évidents, à l’instar des fichiers attachés exemple à l’usage d’un badge d’entrée ou de l’accès au WIFI.

Cet inventaire réalisé, les DPD devront ensuite réaliser un plan d’action de la mise en conformité de l’ensemble de ces traitements au RGPD (évolution des mentions obligatoires, intégration de nouvelles clauses au sein des contrats, définition de nouvelles mesures de sécurité techniques et organisationnelles, formation du personnel, etc.).

Ils auront ensuite la charge de la rédaction et de la tenue d’un registre des traitements, lequel leur permettra de garantir en toutes circonstances la conformité de l’organisme à cette nouvelle réglementation.

Ils assumeront enfin un rôle fondamental de structuration, d’animation et de sensibilisation de l’ensemble des acteurs intervenant sur les données personnelles aux fins de maintenir le niveau d’exigence escompté.

II- La dimension stratégique de la désignation du DPD

Eu égard à la présentation qui précède afférente à cette fonction nouvelle de DPD et aux responsabilités que ces délégués auront vocation à assumer dans les mois et années à venir, leur désignation revêt nécessairement une dimension stratégique.

Le RGPD lui-même est, au-delà, très exigeant puisqu’il en ressort que le DPD doit être compétent, doit disposer de moyens suffisants pour exercer sa mission et avoir la capacité d’agir en toute indépendance (article 37 § 5 du RGPD).

Dans sa très récente rubrique « Désigner un délégué à la protection des données (DPD) » mise en ligne le 29 mars dernier, la CNIL invite, par conséquent, chaque organisme concerné, à s’assurer rigoureusement de la satisfaction de ces conditions avant de procéder à la désignation en ligne de leur DPD.

Par suite, pour répondre à cette obligation nouvelle de désignation d’un DPD, qui concerne rappelons-le tous les acteurs publics (article 37 §1a du RGPD), quelle que soit leur taille (y compris donc les petites communes), on peut retenir synthétiquement que les acteurs publics disposent de trois options alternatives, lesquelles présentent des avantages et inconvénients distincts.

Ils peuvent tout d’abord désigner un DPD en interne, lequel disposera d’une parfaite connaissance de la structure et de son fonctionnement lui permettant d’appréhender immédiatement les finalités de ses principaux traitements de données. La difficulté résidera néanmoins dans la détermination de la bonne personne pour assumer une telle responsabilité, laquelle devra disposer, des compétences, des moyens et de l’indépendance nécessaires à la réalisation des missions afférentes. L’idéal serait de pouvoir disposer d’un poste dédié à la gestion des données et à la protection des données personnelles. Les nouveaux cursus de formation proposés par les grandes universités augurent une telle orientation dans les plus grandes collectivités territoriales notamment.

Ils peuvent également décider de désigner un DPD mutualisé avec d’autres acteurs publics (solution qui aura essentiellement vocation à concerner les organismes publics de petites tailles et principalement, les communes de moins de 1 000 habitants). La CNIL a, dans ce cadre, immédiatement encouragé les syndicats mixtes et autres structures concernées par l’informatique et le numérique en collectivités à proposer des formules de DPO mutualisé.

Ils peuvent, enfin, décider d’externaliser leur DPD, soit de recourir à un prestataire professionnel externe qui assurera cette responsabilité pour l’organisme, dans les conditions définies contractuellement. Plusieurs cabinets d’avocats et sociétés de consultants en numérique proposent à ce jour cette prestation. S’il est indéniable qu’un DPD externe ne disposera pas, au moins dans un premier temps, d’une pleine connaissance de la structure et de son mode de fonctionnement, que l’audit qu’il sera conduit à mener pourra être perçu comme une intrusion par le personnel de l’organisme et que cette solution pourra être au départ plus onéreuse, cette option présente néanmoins de sérieux avantages en termes d’expertise et d’indépendance.

Quoi qu’il en soit et après de premiers retours d’expérience, notre sentiment est celui du grand intérêt de mener une réflexion sans a priori et la plus large possible pour procéder à un tel choix, lequel sera nécessairement fonction de multiples critères inhérents à chaque structure (attrait particulier d’un des agents pour ce type d’enjeux, politique d’open data menée par ailleurs, adhésion à un syndicat mixte, ampleur des traitements recensés, etc.).

D’autant que cette réflexion peut également être l’occasion d’un travail plus global d’optimisation de la gestion et l’usage des données.

Au demeurant et dans la mesure où rien n’interdit d’opter, dans l’attente, pour une solution transitoire, il est tout à fait possible d’engager une telle étude, y compris si son rendu ne pouvait intervenir qu’après le 25 mai 2018.

A noter enfin que les formations, à l’instar que celles que nous proposons, gratuitement, au Cabinet, le 4 mai 2018, peuvent participer de cette réflexion et la faciliter !

Elise Humbert – Avocat