Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, le rôle de Délégué à la Protection des Données (DPD ou plus génériquement DPO, acronyme de “Data Protection Officer” qui sera utilisé ci-dessous tout au long de cet article) est devenu crucial pour les organismes soumis au droit européen et qui traitent des données personnelles et/ou sensibles.  

Pour autant, la fonction de DPO existait déjà avant la mise en application du RGPD, notamment dans les projets informatiques critiques en terme de sécurité et qui requièrent un niveau d’habilitation spécifique (droit d’en connaître), lors d’audits de certification sur des opérations de sécurité de haut niveau (ex : EAL4+) ou pour gérer la protection d’actifs informationnels stratégiques. A titre d’exemple plus simple, Singapour a rendu obligatoire la nomination d’un DPO dès 2012 dans son règlement local sur la protection des données personnelles et de la vie privée, dénommé Personal Data Protection Act (PDPA).

Tel un véritable chef d’orchestre de la gestion des données personnelles d’une entité, qu’il soit interne, externe ou mutualisé, le DPO est le pilier central de la gouvernance des données, assurant la conformité des traitements de données et agissant comme point de contact pour toutes les questions relatives au RGPD.

Le DPO a pour missions principales de :

• conseiller et accompagner l'organisation
• contrôler l'effectivité des règles de protection des données, en particulier en regard des obligations liées au RGPD
• garantir la documentation exhaustive des traitements de données réalisés par l’entité qui l’a désigné

De plus, il joue un rôle clé dans la sensibilisation et la formation des employés, et doit être impliqué dès les premières étapes de tout projet de traitement de données.

La désignation d'un DPO doit être faite avec soin, en veillant à choisir un profil adapté à la complexité et à la volumétrie des traitements de données, tout en veillant à éviter tout conflit d’intérêts.  

Enfin, il est essentiel d’identifier que, dans le contexte du RGPD :

• le DPO doit pouvoir exercer ses fonctions en toute indépendance
• contrairement au responsable du traitement, le DPO ne peut pas être tenu pour responsable si l’entité ne respecte pas la conformité RGPD
• le DPO est soumis à une obligation de confidentialité et doit être en mesure de communiquer directement avec les plus hauts niveaux de la direction
• la position hiérarchique du DPO et les ressources qui doivent être mises à sa disposition doivent parfaitement refléter le rôle central du DPO dans l’organisme

N.B. : Le présent article, centré principalement sur les exigences relatives au DPO telles que spécifiées par le RGPD, est fortement inspiré du dossier CNIL “Le guide du délégué à la protection des données” daté du 06/04/2022 qui est beaucoup plus détaillé et complet.

Le rôle du DPO

Les missions que doit accomplir le DPO dans le cadre de la démarche de conformité (à court, moyen et long termes) de son entité en fait un acteur central du système de gouvernances des données personnelles dans l’école. Nous allons passer en revue les différentes prérogatives associées à la fonction de DPO en partant des exigences du RGPD.

Conseiller et accompagner

Le DPO a un rôle de conseil et d’accompagnement à plusieurs niveaux :

• il apporte son expertise auprès de la direction afin que celle-ci puisse assurer la conformité des traitements
• il diffuse la culture et les règles de la protection des données auprès de toutes les personnes qui traitent des données personnelles au sein de la structure.

Le DPO peut ainsi identifier et formaliser les moments clés à l’occasion desquels il souhaite que son intervention ou sa présence soit systématique, par exemple pour chaque :

• projet de décision de création ou d’évolution d’un traitement existant (afin notamment de veiller au respect des principes de protection des données dès la conception et par défaut)
• examen de la nécessité de réaliser une analyse d’impact relative à la protection des données et à sa réalisation effective
• rédaction ou tenue du registre des activités de traitement
• rédaction et mise à jour des règles ou politiques internes en matière de protection des données
• violation de données personnelles, afin de conseiller sur les mesures à prendre ainsi que sur la notification à l’autorité et aux personnes concernées.

Le DPO sensibilise et accompagne les acteurs de votre établissement impliqués au sein de chaque service traitant des données :

• en veillant à l’adoption par tous d’une culture d’entreprise recentrée sur la « protection des données personnelles » (en organisant par exemple des formations internes régulières pour voir ou revoir les grands principes de la protection des données personnelles et la gouvernance des données plus généralement)
• en procédant à des actions de communication et de sensibilisation sur des sujets pertinents pour l’organisme
• en se présentant comme l’interlocuteur interne référent pour toute question en matière de protection des données, et si nécessaire au moyen de personnes relais.

Le DPO a donc avant tout une mission d’information, de conseil et de contrôle. Il est cependant en position d’en être un acteur clé dont les compétences seront très utiles au responsable de traitement pour l’aider à se conformer à ses obligations.

Contrôler l’effectivité des règles

Cette mission doit prendre la forme de vérifications organisées par le DPO (audit externe ou relais interne), ou menées par le DPO personnellement, en collaboration avec les autres fonctions clés des services liés au management des systèmes d’information et particulièrement de leur sécurité. Elle doit s’accompagner d’un suivi du plan d’actions correctives et évolutives. En fonction des priorités, l’objet de ces contrôles ou audits peut consister en :

• des vérifications de l’exactitude des informations contenues dans le registre des traitements mis en œuvre par l’organisme (inventaire des activités de traitement, périmètre des finalités, personnes concernées, nature des données traitées, destinataires et éventuels transferts hors de l’Union Européenne, durées de conservation, mesures de sécurité)
• des vérifications de la conformité des traitements les plus sensibles, en prenant en compte les analyses d’impact effectuées (notamment s’agissant de la mise en œuvre des mesures censées diminuer la vraisemblance et la gravité des risques)
• la mise en place d’outils de suivi et de contrôle de l’utilisation des traitements (analyse de logs, détection de données interdites, vérification du respect des durées de conservation, etc.)
• un contrôle de l’effectivité des mesures techniques et organisationnelles de protection des données que l’organisme s’est engagé à mettre en œuvre.

Pour résumer :

Assurer la documentation des traitements de données

La documentation tient un rôle prépondérant dans la nouvelle logique de responsabilisation (ou “accountability”) du RGPD. Rendue obligatoire, elle permet au responsable de traitement ou au sous-traitant de garantir et de démontrer le respect de ses obligations ainsi que les démarches entreprises.

De nombreux éléments peuvent être intégrés dans la documentation, tels que le registre des activités de traitement, les analyses d’impact, le registre des violations de données et des mesures prises pour y remédier, les mentions d’informations, les preuves du recueil du consentement, les procédures relatives à l’exercice des droits, les contrats de sous-traitance, les outils d’encadrement des transferts hors Union européenne, l’analyse écrite sur l’absence de conflit d’intérêts du DPO, etc. Cette liste n’est pas limitative dans la mesure où tout élément permettant de justifier de la conformité et de piloter les actions à réaliser peut être intégré à la documentation.

La documentation est un outil essentiel du DPO car elle permet d’avoir une connaissance exhaustive des opérations de traitement mises en œuvre et de prévoir leur pilotage. S’agissant de la tenue du registre des activités de traitement dans l’UE, l’article 30 du RGPD prévoit que l’obligation de tenir un registre pèse sur le responsable du traitement ou le sous-traitant.
Or, dans la pratique, les activités du DPO peuvent le conduire à prendre en charge cette mission. En effet, la tenue du registre constitue de fait un outil de suivi et de contrôle des traitements mis en œuvre permettant au DPO d’avoir une connaissance la plus exhaustive possible des opérations de traitements et de proposer les mesures nécessaires à leur encadrement. Il doit en tout état de cause pouvoir le consulter à tout moment.

La désignation du DPO

En tant qu’établissement d’enseignement, votre entité collecte et traite des données personnelles. Cependant, l’obligation de désigner un DPO va dépendre de votre situation :

• Si vous êtes situé dans une zone géographique où s’applique le droit européen, vous devez obligatoirement respecter le RPGD : votre organisme est concerné par l’obligation de nommer un DPO.
• Si vous n’êtes pas situé dans une zone géographique où s’applique le droit européen, mais que vous collectez et/ou traitez des données relatives à des résidents de l’Union Européenne, le RGPD s’applique : votre entité est concernée par l’obligation de nommer un DPO.
• Si vous n’êtes pas situé géographiquement dans un pays soumis au droit européen sur la protection des données personnelles et que vous ne collectez ni ne traitez aucune donnée personnelle d’un résident de l’UE, vous devez vous référer aux lois locales de votre pays pour vérifier si la nomination d’un DPO est requise ou non. Par exemple, si votre école est située à Singapour, le règlement local sur la protection des données (loi PDPA) impose la nomination d’un DPO. Même si cela ne vous est pas imposé par votre règlementation locale, il semble toutefois pertinent de voir dans ce DPO un référent protection des données personnelles qui assurera la conformité légale de l’établissement en regard de ses obligations de traitements de données personnelles et/ou sensibles.

Eduka Suite permet désormais de désigner votre DPO depuis le Module Configuration > Menu Tableau de bord > Encart “Paramétrage de la protection des données”.

Qui peut être désigné DPO ? 

Bien qu’il n’existe pas de profil type pour exercer la fonction de DPO, le RGPD par exemple impose que le délégué dispose d’un certain niveau d’expertise. L’établissement doit également veiller à l’absence de conflit d’intérêts avec d’autres missions.

Enfin, lorsque vous désignez votre DPO, vous devez être en capacité de prouver que son profil répond aux exigences du RGPD (connaissances et compétences, absence de conflit d’intérêts, etc.). Selon le principe “d’accountability”, pour y arriver, vous devez assembler en interne un ensemble documentaire (ex : CV, fiche de poste, éventuelles certifications, preuves de l’absence de conflit d’intérêt, etc.) permettant d’attester que le DPO ainsi désigné répond aux exigences du RGPD, c’est cette documentation que vous devrez remettre à l’autorité de contrôle lors de toute vérification. 

Exigences requises en termes de connaissances et de compétences pour le DPO

La personne pressentie à la fonction de DPO doit disposer d’un certain niveau de connaissances, à savoir :

• une expertise juridique et technique en matière de protection des données
• une connaissance du secteur d’activité, de la réglementation sectorielle et de l’organisation de la structure pour laquelle il est désigné
• une compréhension des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données
• une bonne connaissance des règles et procédures administratives applicables dans l’administration du pays ou de l’état fédéral.

Si la personne pressentie au poste ne possède pas l’expertise requise avant sa prise de fonction, vous devrez nécessairement mettre à contribution vos experts internes et développer à très court terme les connaissances du nouveau DPO grâce à des formations.

Le candidat au poste doit également présenter les qualités personnelles nécessaires à cette fonction (liste non exhaustive) : intégrité, haut niveau d’éthique professionnelle, capacité à communiquer, vulgariser et convaincre...

N.B. : le niveau d’expertise exigé pour le poste de DPO varie en fonction de la sensibilité, de la complexité et du volume de données traitées par l’établissement. Ces connaissances et compétences peuvent être acquises au moyen d’un plan de formation adapté au profil du candidat.

Enfin, une certification des compétences du DPO, valable 3 ans, peut être délivrée par une autorité de contrôle de l’UE (comme la CNIL), elle n’est accessible qu’après plusieurs années d’expérience dans la protection des données, ou après avoir suivi une formation spécifique, conséquente et reconnue.

Absence de conflit d’intérêts

Le DPO peut exercer d’autres fonctions au sein de l’organisme, on parle dans ce cas de DPO à temps partiel. L’existence d’un conflit d’intérêts s’apprécie au cas par cas. Il est conseillé de documenter l’analyse conduisant à exclure l’existence de conflit d’intérêts pour le DPO désigné.

Exemples de fonctions susceptibles de provoquer un conflit d’intérêts :

• DPO directeur général des services
• DPO directeur des opérations
• DPO directeur des systèmes d’information ou du service informatique
• DPO responsable finance
• DPO responsable des ressources humaines
• DPO responsable du département marketing & communication

DPO interne, externalisé ou mutualisé ?

Chaque établissement est libre d’organiser la fonction de DPO selon ses besoins. Il s’agit d’un choix qui appartient à l’entité, en fonction notamment des avantages et inconvénients du recours à un DPO externe ou interne, de l’offre interne disponible et de l’organisation de la structure.

DPO interne

Le délégué peut être un membre du personnel de l’organisme. Il peut exercer ses fonctions à temps plein ou à temps partiel. Il doit enfin nécessairement être une personne physique.

DPO externe

La fonction de DPO peut être exercée sur la base d’un contrat de service externalisé conclu avec une personne physique (exemple : consultant, salarié d’une filiale du groupe, etc.) ou morale (exemple : cabinet d’avocats, cabinet de conseil, centre de gestion, syndicat mixte, etc.).

DPO mutualisé

Qu’il s’agisse d’un délégué interne ou externe, un DPO peut être mutualisé, c’est-à-dire désigné pour plusieurs entités, sous réserve que le DPO soit facilement joignable à partir de chaque lieu d’entité.

La mutualisation peut être une solution particulièrement adaptée aux groupements d’écoles ou pour les plus petites structures qui y verraient un intérêt financier sans perdre les connaissances et les compétences requises pour le poste. 

Comment désigner un DPO ?

Étape n° 1 : choisir le « bon DPO »

Un DPO externe peut être une personne physique ou morale, mais un DPO désigné en interne ne peut être qu’une personne physique (un salarié, par exemple).
La procédure de désignation interne d’un DPO impose de s’interroger préalablement sur la personne pressentie pour ce poste : il est à cet égard important de se poser les bonnes questions afin, par la suite, d’être en capacité de justifier son choix.

Le choix d’un DPO en interne doit notamment tenir compte de :

• l’intérêt de la personne pressentie pour les missions du DPO et l’appétence pour la matière de la protection des données
• son profil au regard de ses qualifications et de son absence de conflits d’intérêts
• les conditions d’exercice de ses missions

Étape n° 2 : formaliser la désignation

Ce document peut également être l’occasion de définir les modalités de travail du DPO (moyens alloués, interlocuteurs relais identifiés, fréquence des réunions avec la direction de l’organisme et les services traitant les données, circuit de communication, etc.) en décrivant comment les obligations de l’organisme désignant seront transposées en pratique.

Étape n° 3 : faire connaître son DPO

La désignation d’un DPO devrait s’accompagner d’actions de communication à même d’apporter de la visibilité à la fonction et aux coordonnées du délégué au sein de l’organisme, par exemple vis-à vis de tous les collaborateurs (agents ou salariés), des instances représentatives du personnel et des comités de direction ou instances exécutives.

Exemples d’actions de communication : note d’information envoyée par la direction à l’ensemble du personnel, note interne publiée sur l’intranet ou par affichage, présentation interne devant les instances de direction, publication de la lettre de mission, etc. Ce type d’actions a pour objectif de communiquer en interne sur le rôle du DPO, son statut, les moyens qui lui sont affectés et les procédures associées à l’exercice de ses missions. C’est aussi l’occasion de rappeler l’enjeu de la conformité et de présenter les futurs chantiers qui seront pilotés par le DPO.

À noter : le délégué est en contact permanent avec les services et directions de l’organisme. Ce plan de communication est donc particulièrement important dans la mesure où il assure au DPO les conditions les plus favorables à sa prise de fonction.

Étape n° 4 : désigner son DPO auprès de l’autorité de contrôle compétente

S’assurer au préalable de l’autorité de contrôle compétente pour la désignation de votre DPO puis désigner votre DPO en ligne via le téléservice de l’autorité de contrôle (aucun courrier postal ne sera traité et il n’est pas nécessaire d’envoyer de documents justificatifs portant sur la nomination de votre DPO).

L’exercice de la fonction de DPO

Quels sont les moyens attribués au DPO ?

Le délégué doit bénéficier des moyens nécessaires à l’exercice de ses missions, ce qui signifie qu’il doit être associé à toutes les questions relatives à la protection des données et disposer de res sources suffisantes.

Associer le DPO à toutes les questions relatives à la protection des données

Il est essentiel que le DPO ou, le cas échéant, son équipe, soit associé le plus tôt possible à toutes les questions relatives à la protection des données. L’information et la consultation du DPO dès qu’un projet de traitement est envisagé permettront de faciliter le respect du RGPD et d’encourager une approche fondée sur la protection des données dès la conception. Le DPO doit être un interlocuteur naturel au sein de l’organisme, par exemple en étant associé aux groupes de travail consacrés aux activités de traitement de données au sein de l’organisme.

À titre d’exemple, l’entité veille notamment à ce que :

• le DPO soit invité à participer régulièrement aux réunions stratégiques de l’organisme qui définissent en amont les projets impliquant des données personnelles
• sa présence soit recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises
• le DPO puisse dialoguer et travailler avec les fonctions jouant un rôle important dans la protection des données, comme par exemple avec le DSI
• toutes les informations pertinentes soient transmises au DPO en temps utile afin de lui permettre de fournir un avis pertinent, éclairé et impartial
• l’avis du DPO soit toujours sérieusement pris en considération. En cas de désaccord, il est recommandé, à titre de bonne pratique, de consigner les raisons pour lesquelles l’avis du DPO n’a pas été suivi
• le DPO soit immédiatement consulté lorsqu’une violation de données ou un autre incident (signalement relevé dans la presse, réclamations, etc.) se produit.

Les ressources du DPO

Le RGPD prévoit que l’entité doit fournir au DPO les ressources nécessaires à la réalisation de ses tâches (temps nécessaire, accès à des ressources financières, collaborateurs s’il en a le besoin) ; en lui facilitant l’accès aux données et aux opérations de traitement (accès facilité aux autres services de l’organisme) et en lui permettant d’entretenir ses connaissances spécialisées.

Les ressources du DPO doivent être adaptées à la taille, la structure et l’activité de l’organisme. Ainsi, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPO devront être importantes.

Il est recommandé de préciser le type de ressources allouées au DPO dans la lettre de mission, en tant qu’engagement de l’organisme vis-à-vis du DPO pour lui permettre d’exercer au mieux ses missions.

Quel est le statut du DPO ?

L’indépendance du DPO dans l’exercice de ses missions

Le RGPD prévoit certaines garanties destinées à faire en sorte que le délégué soit en mesure d’exercer ses missions avec un degré suffisant d’autonomie et d’indépendance vis-à-vis de l’organisme qui le désigne.
Cette indépendance signifie que le DPO :

• Ne doit pas recevoir d’instruction dans l’exercice de ses missions, par exemple sur la manière de traiter un sujet, d’instruire une réclamation, sur le résultat à apporter à un audit interne ou encore sur l’opportunité de consulter l’autorité de contrôle. De même, il ne peut être tenu d’adopter un certain point de vue sur une question liée à la législation en matière de protection des données telle qu’une interprétation particulière du droit.
• Ne doit pas faire l’objet d’une sanction ou d’un licenciement du fait de l’accomplissement de ses missions, par exemple si le délégué conseille au responsable de traitement d’effectuer une analyse d’impact et que celui-ci n’est pas d’accord, ou consigne une analyse juridique ou technique en contradiction avec celle retenue par le responsable de traitement. À noter toutefois qu’il peut être mis fin aux fonctions du délégué pour des raisons relevant de la législation du travail habituelle (tel que : vol, harcèlement, autre faute grave).
• Fait directement rapport aux échelons les plus élevés de la direction de l’organisme afin que le niveau auquel les décisions sont prises ait connaissance des avis et recommandations du DPO. Ainsi, il est recommandé par les autorités de contrôle que le DPO élabore et présente au niveau le plus élevé de l’organisme un rapport régulier (par exemple, annuel) sur ses activités. Le DPO doit également être en capacité de s’adresser directement au niveau le plus élevé sur une problématique spécifique s’il l’estime nécessaire. À noter que cette exigence de faire rapport au niveau le plus élevé ne préjuge pas du « rattachement » du délégué pour lequel le RGPD ne comporte pas d’exigence.

Absence de responsabilité du DPO en cas de non-respect du RGPD

Le RGPD prévoit que c’est le responsable du traitement qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément au RGPD. De la même manière, c’est le sous-traitant qui est responsable du respect de ses obligations propres prévues par le RGPD. Dès lors, le délégué n’est pas responsable en cas de non-respect du RGPD au sein de l’organisme qui l’a désigné.

Il n’est donc pas possible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant découlant du RGPD. En effet, cela reviendrait à conférer au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement ce qui serait constitutif d’un conflit d’intérêts contraire au RGPD.

Par contre, si le DPO commet une faute dont il est possible de lui rattacher la responsabilité dans le cadre de sa mission, il pourra bien évidemment être sanctionné voire démis de sa fonction. 

Obligation de confidentialité/secret professionnel

Le délégué doit être soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Il convient donc de veiller à insérer une telle obligation dans le contrat de travail ou la lettre de mission du délégué interne ou dans le contrat de service du délégué externe.

À noter : cette obligation de secret professionnel ou de confidentialité n’interdit pas au DPO de prendre contact avec l’autorité de contrôle pour solliciter son avis. En effet, le RGPD prévoit que le DPO peut mener des consultations auprès de l’autorité de contrôle sur tout sujet.

Que faire en cas de départ, de congés ou de remplacement du DPO ?

Le délégué joue un rôle central dans la protection des données de l’organisme, et fait office de point de contact pour les personnes ainsi que pour l’autorité de contrôle avec laquelle il doit coopérer. Par conséquent, le départ ou le remplacement d’un DPO, qu’il soit définitif ou temporaire, doit être anticipé et organisé par le responsable de traitement le plus en amont possible.

La transition en interne

Communiquer en interne
De la même manière que lors de sa désignation, le départ et le remplacement du DPO nécessitent d’être relayés en interne par tous moyens (exemple : note interne publiée sur l’intranet, information des instances représentatives du personnel, etc.).

En cas de remplacement, cette information permettra de communiquer le nom et les coordonnées du nouveau DPO.

Assurer le suivi des dossiers en cours
Il est essentiel de mettre à jour les procédures permettant d’assurer le suivi et la reprise des dossiers en cours (exemple : suivi d’une demande d’exercice de droit, réalisation d’une analyse d’impact en cours, etc.).

La transparence vis-à-vis des personnes concernées

En cas de départ ou de remplacement, l’organisme doit s’assurer que les mentions d’information, qui doivent comporter les coordonnées du DPO, sont à jour.

À noter : pour éviter cette mise à jour systématique des mentions d’information, privilégiez des coordonnées « neutres » (exemple : adresse email générique, numéro de téléphone, adresse postale, etc.).

Les démarches auprès de l’autorité de contrôle

En cas de changement définitif 
Le responsable de traitement ou le sous-traitant doit, dans les meilleurs délais, informer l’autorité de contrôle compétente de la fin de mission de son DPO. De façon opérationnelle, pour traiter une fin de mission, il est demandé de mettre le représentant légal en copie du courriel informant l’autorité de contrôle de la fin de mission (voir adresse dans le courriel de confirmation de la désignation).

Si le DPO est remplacé, l’organisme doit, dans les mêmes délais, procéder à la désignation du nouveau DPO.

En cas d’absence temporaire

• Si le DPO absent est officiellement remplacé par un autre DPO le temps de son absence, une nouvelle désignation est alors requise auprès de l’autorité de contrôle référente (en informant dans le même temps de la fin de mission du DPO absent)
• si le DPO n’est pas remplacé, il est nécessaire de prévoir une mise à jour des procédures internes (exemple : routage du courrier et des appels) garantissant que les demandes des personnes concernées ou de l’autorité de contrôle soient traitées. Dans les cas où la nomination du délégué est obligatoire pour l’organisme, cette vacance ne peut être qu’exceptionnelle et très limitée dans le temps.

À noter : lorsque l’autorité de contrôle mobilisée prend contact avec un établissement, elle s’adresse au DPO qui a été officiellement désigné auprès de ses services indépendamment des réorganisations internes mises en place. Il est donc important de gérer le routage des appels, courriels et courriers vers les personnes compétentes le temps qu’une désignation pérenne aboutisse.