Les 18 décisions récemment publiées par la Commission Nationale pour la Protection des Données (CNPD) à l’encontre d’une série de sociétés – dont 6 sanctions financières – ainsi que la sanction de 746 million EUR émise par la CNPD envers Amazon.com Inc, semblent indiquer pour les sociétés luxembourgeoises l’expiration de la période de grâce en matière de respect des obligations liées au Règlement Général sur la Protection des données (RGPD).

Parmi les motifs de ces sanctions, et notamment ceux de l’amende infligée la plus élevée après celle d’Amazon.com Inc, on peut relever à plusieurs reprises les insuffisances, voire violations des obligations de la fonction de Délégué à la Protection des Données (DPD).

La fonction de DPD est en effet considérée comme clé pour qu’une entreprise soit en mesure de se conformer au RGPD. On se souviendra que le premier audit thématique officiel lancé par la CNPD avait pour objectif la vérification de la conformité des entreprises avec les règles en matière de désignation et déploiement de la fonction de DPD.

Un ensemble d’ingrédients nous semblent nécessaires pour établir une fonction DPD solide.

Le bon casting

Le DPD désigné doit d’abord avoir des compétences suffisantes dans la matière elle-même pour être capable d’exercer son rôle (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection des données, et capacités à accomplir les missions visées). Certaines sociétés ayant voulu pourvoir un poste en interne ont ainsi dû faire des concessions sur ces dernières. Attention alors à garantir une montée en compétence rapide et à entretenir cette compétence pointue en veillant à la formation continue.

Un rôle clair

Le DPD est responsable d’informer, conseiller, contrôler la conformité de l’entreprise et de constituer le point de contact de l’autorité de contrôle. En revanche, le DPD ne devrait pas, comme c’est souvent le cas en pratique, être « celui qui fait » la conformité, par exemple en complétant lui-même les lignes du registre des activités de traitement ou en rédigeant les analyses d’impact relatives à la protection des données. Le DPD doit plutôt s’appuyer sur les équipes en place pour non seulement diffuser les bonnes pratiques en matière de traitement des données à caractère personnel, mais également répartir autant que possible les tâches auprès des équipes (établissement et maintenance du registre, mise en place de relations de sous-traitance, déploiement du principe de protection des données dès la conception et protection des données par défaut au quotidien…). Il doit s’assurer que les politiques et procédures applicables sont observées, et orienter, conseiller en cas d’interrogation en lien avec la protection des données à caractère personnel. Or, probablement faute de ressources suffisantes, on observe souvent des DPD travaillant en personne sur tout l’éventail des tâches relatives à la protection des données à caractère personnel, exerçant ainsi le double rôle d’exécutant et contrôleur de ces tâches.

Exigence d’indépendance

Selon la taille et le profil de la société, le DPD peut certes exercer sa fonction à temps partiel, et donc potentiellement cumuler cette dernière avec d’autres attributions. On rencontre par exemple souvent des DPD exerçant des responsabilités juridiques, de compliance ou encore liées à la sécurité informatique.

Il convient alors de distinguer clairement les rôles, d’avoir conscience des revers du cumul, et de notamment documenter les situations d’auto-revue – par exemple, lorsqu’un DPD responsable de la sécurité informatique contrôlera la qualité du dispositif en place en matière de sécurisation des transferts de données vers une contrepartie donnée. En d’autres termes, les conflits d’intérêts éventuels doivent être analysés et réduits au maximum ; en cas de conflits d’intérêts trop importants au regard des missions et tâches du DPD, le cumul ne sera pas acceptable.

Des ressources suffisantes

Lorsqu’applicable, l’entreprise a non seulement l’obligation de nommer un DPD, mais également de fournir à ce dernier les ressources nécessaires pour exercer ses missions, entretenir ses connaissances spécialisées et lui permettre l’accès aux données.

Les budgets n’étant pas extensibles et des arbitrages devant être faits, force est de constater que la protection des données personnelles est souvent le parent pauvre des allocations budgétaires.

Un maillon à intégrer à la gouvernance

Le DPD doit être intégré à la gouvernance existante. Il doit participer aux différents comités en place (en fonction du secteur de l’entreprise, comités de validation produits ou projets, par exemple), avoir son mot à dire dans les processus décisionnels, être non seulement émetteur de rapports périodiques, mais également destinataire, afin d’avoir une vue suffisante des activités et de leurs évolutions, et d’être en capacité de détecter et traiter tout impact sur la protection des données à caractère personnel.

C’est là une difficulté pratique fréquemment constatée. En dépit de l’obligation d’être rattachée directement au niveau le plus élevé de la direction, la fonction reste insuffisamment intégrée, soit par manque de prise en compte d’une fonction récente (redéfinition de gouvernance non effectuée), soit par manque de déploiement de cette dernière. En d’autres termes, la fonction – certes en partie du fait de son caractère récent – peut souffrir d’un déficit d’audience auprès des responsables métier et de la direction (du moins hors secteurs d’activités sensibles tel celui de la santé).

Tirer les leçons et réajuster si nécessaire

Trois ans après l’entrée en vigueur du RGPD, l’expérience collectée et les retours reçus de nos clients nous font vivement recommander aux entreprises luxembourgeoises d’effectuer un bilan sur la fonction en place. D’autant que ces dernières étant désormais plus à même de lister les tâches constitutives de la mission de DPD et d’en estimer la volumétrie, elles disposent d’un certain recul sur les dysfonctionnements constatés et devraient donc être en capacité d’évaluer la nécessité d’un réajustement de la fonction.

Parmi les questions à considérer dans le bilan se trouvent les suivantes :

  • le DPD peut-il bien être considéré comme indépendant, exempt de conflits d’intérêts susceptibles d’entraver l’exercice de ses missions ?
  • la charge de travail existante et à venir est-elle adaptée au temps disponible, notamment au regard des derniers développements ? Nous pensons ici aux conséquences de l’arrêt Schrems II de la Cour de justice de l’Union européenne, incluant la nécessité pour les sociétés exportant des données personnelles en dehors de l’Union européenne d’effectuer une analyse d’impact détaillée pour chaque transfert de données à caractère personnel, ainsi que la définition et mise en oeuvre de mesures supplémentaires appropriées lorsque nécessaire ;
  • le DPD est-il systématiquement consulté avant le lancement de nouveaux produits, projets, et considéré comme une des personnes de référence dans ce cadre ? Est-il en contact régulier avec la direction ?

Les actions issues des conclusions tirées pourront aller du remplacement du DPD au renforcement de la fonction existante par des recrutements ou à l’externalisation de la fonction en recourant à un spécialiste externe. Le recours à un spécialiste externe a en effet l’avantage de garantir des compétences élevées, une flexibilité d’absorption de la charge de travail et un niveau d’indépendance maximal de la fonction. Si l’externalisation de la fonction n’est probablement pas à conseiller aux grosses entreprises multinationales, elle s’avère en revanche idéale pour une multitude d’entreprises locales, ou de taille plus réduite, sous-dimensionnées pour un poste de DPD à temps plein ou même à mi-temps, ou n’étant pas en capacité d’engager des sommes élevées dans le recrutement d’un DPD expérimenté.

Quel que soit le secteur d’activité, les équipes d’Arendt aident les entreprises dans leur mise en conformité avec le RGPD. Plus précisément, Arendt Regulatory & Consulting supporte les entreprises dans la construction de leur registre des traitements, la rédaction de politiques et procédures ou encore dans la revue globale de leur conformité au RGPD. Arendt Regulatory & Consulting propose également son service de DPO externe, faisant bénéficier les entreprises d’une large expérience de mise en conformité RGPD, ainsi que de sa connaissance et maîtrise des meilleures pratiques en matière de gouvernance interne.

Bénédicte d’Allard Senior Manager Arendt Regulatory & Consulting
Bénédicte d’Allard Senior Manager Arendt Regulatory & Consulting

https://bit.ly/ARC-GDPR