RGPD - Le délégué à la protection des données ou DPO

Applicable depuis le 25 mai 2018, l’existence du RGPD ou Règlement général sur la protection des données, est, à ce jour, connue de toute organisation. Ce qu’implique concrètement cette règlementation demeure en revanche assez flou. Beaucoup d’associations sont pourtant visées par des obligations particulières et notamment celle de désigner un délégué à la protection des données (ci-après « DPO »). 

Contexte

L'article 37 du RGPD prévoit qu’il est obligatoire de désigner un « DPO » si votre organisme couvre un des cas suivants :  

• Vos activités de base consistent en des opérations de traitement de données à caractère personnel qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Par exemple, le traitement de données à caractère personnel par des instituts d'enseignement en ce qui concerne leurs élèves ou étudiants ;

• Vos activités de base consistent en un traitement à grande échelle de données sensibles. Par exemple, le traitement de données de patients dans le cadre des activités courantes d'un hôpital ;

• Il s’agit d’un organisme public ou d’une autorité publique ; 

Suite à l’entrée en vigueur du RGPD, le Parlement fédéral a voté une nouvelle loi « vie privée » du 30 juillet 2018 qui contient, en son article 5, une définition de la notion d’ « autorité publique ». Malgré la plainte de l’UNISOC, l’Autorité de protection des données a confirmé qu’étaient considérées comme « autorité publique » et donc dans l’obligation de désigner un(e) délégué(e) à la protection des données les ASBL dont soit,  

• l’activité est financée majoritairement par les autorités ou organismes publiques, soit, 

• la gestion est soumise à un contrôle des autorités publiques, soit,  

• la majorité des membres du conseil d’administration sont désignés par les autorités publiques.

Les ASBL remplissant un de ces 3 critères sont donc dans l’obligation de désigner un DPO.  

Qui désigner comme DPO? 

Le DPO doit avoir des connaissances spécialisées du droit et des pratiques en matière de protection des données, pour autant, aucun diplôme défini ni certification particulière ne sont requis. Ce niveau de spécialisation sera déterminé in concreto, en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données traitées.  Si la personne pressentie ne possède pas l’expertise sur toutes ces connaissances avant son entrée en fonction, il faudra nécessairement les développer à très court terme, par des formations.

Le DPO peut soit être :  

• Interne à l’organisation : Le DPO peut avoir d’autres fonctions au sein de l’organisation : celles-ci ne pourront cependant être sources de conflits d’intérêt.  Il n’est par exemple pas possible de devenir DPO lorsqu’on occupe un poste de direction qui amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.  

• Externe à l’organisation : Il est possible de faire appel à une personne physique (consultant, etc) ou morale (cabinet d’avocats, centre de gestion, etc), extérieure à la structure, via un contrat de service. Le RGPD insiste toutefois sur le fait qu’il.elle soit facilement joignable. L’organisation devra donc veiller à rendre public les coordonnées du.de la DPO auprès de ses employé.es.  

Interne ou externe, les coordonnées du/de la DPO doivent être communiquées à l’Autorité de protection des données, via le formulaire de communication des coordonnées du délégué disponible sur le site de l’APD. 

Point lexical :

Qui est l’autorité de protection des données ou “APD” ? : Il s’agit d’un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. 

Missions

Le DPO a au moins les missions suivantes :

- Informer et conseiller l’organisme :

• Il apporte son expertise auprès de la direction afin que celle-ci puisse assurer la conformité des traitements au RGPD ;
• Il diffuse la culture et les règles de la protection des données auprès de toutes les personnes qui traitent des données personnelles au sein de l’organisme.

- Contrôler le respect du RGPD ;

• Il vérifie l’exactitude des informations contenues dans le registre des traitements mis en œuvre par l’organisme ;

• Il met en place des outils de suivi et de contrôle de l’utilisation des traitements (par exemple, il vérifie le respect des durées de conservation des données) ;

- Il est le point de contact sur les sujets RGPD :

Le DPO est amené à coopérer avec l’autorité de contrôle et doit à ce titre jouer un rôle de « facilitateur » à l’occasion des échanges avec l’APD (réponse aux demandes lors d’un contrôle sur place, instruction d’une réclamation, notification d’une violation de données, etc.). Le DPO est également le point de contact pour les personnes qui souhaitent exercer leurs droits  auprès du responsable de traitement. Une adresse de contact dédiée à la fonction est souvent créée à cet effet qui n’est accessible qu’au DPO.

Point lexical :

• Les données à caractère personnel c’est quoi ? C'est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. Par exemple : un nom, une adresse mail, une adresse IP, un identifiant de connexion informatique, etc.
• Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.
• Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier :

1. les parties prenantes ;
2. les catégories de données traitées ;
3. à quoi servent ces données, qui y accède et à qui elles sont communiquées ;
4. combien de temps les données personnelles sont conservées ;
5. comment elles sont sécurisées.

Pour plus de détails sur les missions du DPO, vous pouvez consulter le site : https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/delegue-a-la-protection-des-donnees/missions-

Moyens

Le DPO doit disposer des moyens nécessaires pour accomplir sa mission en toute indépendance.  Concrètement, cela signifie qu’il doit être associé à toutes les questions relatives à la protection des données. L’organisation devra veiller à : immédiatement consulter le DPO lors d’une violation de données, le consulter sur des projets impliquant le traitement de données à caractère personnel, etc. Temps, moyens financiers, formations, sont autant de ressources qui devront être mis à disposition du DPO. Davantage d’informations sur les moyens dont doit disposer un DPO sur le site : https://www.porttic.be/moyens/

 

Responsabilité

Le.la délégué.e n’est pas personnellement responsable en cas de non-respect du RGPD. C’est le responsable de traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement  est effectué conformément aux dispositions du RGPD. 

Point lexical

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Par exemple, les sociétés de sécurité informatique, les agences de communication qui traitent de données personnelles pour le compte de clients.

Sanction

En cas de méconnaissance de l’obligation de désigner un DPO, une « autorité publique » au sens de la loi belge précitée, ne s’expose pas à une sanction administrative de type financier. La Cour constitutionnelle a en effet estimé que cela mettrait en péril « la continuité du service public ainsi que l’exercice d’une mission d’intérêt général ».Toutefois d’autres sanctions administratives sont envisageables : limitation temporaire ou définitive du traitement de données, ordre de se mettre en conformité avec les dispositions du RGPD.

Les ASBL ne correspondant pas à la notion d’« autorité publique » mais soumises au RGPD pourront quant à elles, se voir infliger des amendes administratives par l’APD.

Liens utiles

• Guide pratique pour la fonction de DPO (site français): https://www.cnil.fr/sites/cnil/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf

• Informations complètes sur la fonction de  DPO : https://www.porttic.be/rgpd/dpo/, https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/delegue-a-la-protection-des-donnees

• Brochure très utile qui s’adresse aux PME dont les ASBL : https://www.autoriteprotectiondonnees.be/publications/brochure-faq-pour-les-pme.pdf