Le 25 mai 2018, le Règlement général sur la protection des données (règlement n°2016/679 ou RGPD) entre en application. Ce texte crée un nouvel acteur en la personne du délégué à la protection des données, aussi appelé data protection officer en anglais (ou DPO), véritable artisan de la conformité de l’organisme qui le désigne.

Le législateur français a entendu harmoniser le droit français à l’approche du 25 mai. Le choix symbolique a été fait de conserver la loi n°78-17 du 6 janvier 1978, aussi appelée loi Informatique et Libertés. Le projet de loi relatif à la protection des données personnelles, aussi connu sous le nom de « CNIL 3 », doit être examiné en lecture définitive par l’Assemblée Nationale dans les semaines à venir.

Ce projet de loi réalise également la transposition de la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes dans la sphère pénale.

En l’état du texte, quel serait le statut du DPO au regard du droit français ? Mathias Avocats fait le point avec vous.

CNIL 3, RGPD : pas de divergences

En l’état, le projet de loi CNIL 3 n’apporte pas de précisions concernant le délégué à la protection des données.

On pourrait s’interroger sur les raisons du silence du projet de loi sur un point aussi important du règlement. Pour comprendre, il faut remonter aux premiers échanges sur le texte, et plus particulièrement à un avis du Conseil d’État du 11 décembre 2017. La lecture de cet avis révèle que le gouvernement, dans son premier projet de loi, avait entendu introduire des dispositions portant sur la création de la fonction de délégué à la protection des données. Ces dispositions ont été écartées par le Conseil d’État.

Ce dernier a en effet estimé que les obligations relatives au DPO sont « très précisément définies par les articles 37 et suivants du règlement (UE) 2016/679 ». En outre, selon le Conseil d’Etat, dans la mesure où les dispositions précitées sont d’application directe, elles n’appellent aucune précision autre que l’abrogation des dispositions contraires existantes. Les dispositions contraires existantes visées sont celles portant sur le correspondant informatique et libertés (CIL), aussi appelé correspondant à la protection des données. Cette fonction, née en 2004, est effectivement supprimée par le projet de loi.

Au surplus, le Conseil d’État relève les précisions que donnait le Gouvernement n’étaient que partielles. Les maintenir aurait laissé planer une incertitude sur le motif pour lesquels d’autres caractéristiques des délégués ou de leurs fonctions ne faisaient pas l’objet d’une reprise. L’ensemble de ces dispositions ont donc été retirées du projet de loi.

En conséquence, le projet de loi n’aborde que très marginalement la question du délégué à la protection des données. Le législateur français n’a donc pas entendu outrepasser sa mission en précisant, par exemple, les cas de désignation obligatoire d’un DPO ou l’étendue de ses missions.

Une transposition à l’identique de la directive

Sur la question de la désignation du DPO chez les autorités compétentes dans la sphère pénale, le projet de loi actuel se contente de transposer les articles de la directive. Il est ainsi indiqué dans le projet de loi que par exception, les juridictions agissant dans l’exercice de leur fonction juridictionnelle n’auront pas à désigner un délégué à la protection des données. Quant aux autres autorités compétentes, elles pourront désigner un DPO mutualisé « compte tenu de leur structure organisationnelle et de leur taille ».

Cette option issue de la directive fait écho à la possibilité issue du RGPD et laissée aux organismes publics de désigner un DPO mutualisé (article 37§3 du RGPD).

Une charte déontologique pour le délégué à la protection des données d’administrations publiques ?

Lors de la première lecture du texte devant le Sénat, les sénateurs ont entendu introduire dans le projet de loi un nouvel article 6 bis, qui donnerait mission à la CNIL d’établir un document à destination des DPO des organismes publics. Il s’agirait d’une « charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques ». Il convient de rappeler que les administrations publiques sont en effet obligées de désigner un délégué à la protection des données : il s’agit du premier cas de désignation obligatoire instauré par le RGPD (article 37§1 a). Les sénateurs ont exprimé à plusieurs reprises une certaine inquiétude quant aux capacités des collectivités territoriales à faire face à leur obligation de conformité au RGPD.

La commission mixte paritaire a cependant supprimé cet ajout, et les députés ont maintenu ce choix lors du nouvel examen du texte le 12 avril 2018. Le désaccord persiste toujours puisque les sénateurs ont réintroduit cette disposition à l’issue d’un nouvel examen du texte le 19 avril 2018.

Le délégué à la protection des données, lanceur d’alerte ?

Lors des débats au Sénat, il a été question de permettre au DPO de bénéficier le cas échéant du statut de lanceur d’alerte. Cette proposition n’a pas abouti.

Tant le gouvernement que la commission des lois ont souligné que le DPO doit cultiver une relation de confiance avec le responsable de traitement ou le sous-traitant qui le désigne. De plus, le DPO bénéficie déjà d’une protection, renforcée par son indépendance. Il ne doit pas recevoir d’instruction dans l’exercice de ses missions de DPO et ne peut faire l’objet de mesures de rétorsion à la suite de l’exercice de ses missions.

Le projet de loi relatif à la protection des données personnelles n’apportera semble-t-il pas plus de précisions sur le DPO. Il conviendra donc de se tourner vers la lecture des lignes directrices sur le délégué à la protection des données publiées par le Groupe de travail de l’article 29 (G29).

Pour approfondir toutes les questions relatives au DPO, nous vous conseillons la lecture de notre ouvrage « Le Délégué à la protection des données (DPO) : clef de voûte de la conformité ». Il présente de manière opérationnelle et synthétique le DPO, son positionnement, son profil et ses missions, afin de vous donner les clefs pour aborder sereinement votre conformité.

Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur la désignation d’un délégué à la protection des données dans votre organisme.