RGPD : où sont les limites de la fonction DPO ?

DPO guide Cnil

Instaurée en 2018 avec le RGPD, la fonction de DPO s’exerce sur des périmètres (très) variables. La Cnil tente d’éclaircir certains aspects.

Un DPO peut-il faire l’objet de poursuites au civil dans l’exercice de ses missions ? Tout dépend s’il est salarié ou externe. Dans le premier cas, la réponse est non, en application du principe de la responsabilité de l’employeur. Dans le deuxième, en revanche, c’est possible, en cas de faute professionnelle ayant occasionné préjudice pour un responsable de traitement.

La Cnil fournit ces explications dans un « guide du DPO » fraîchement publié. Elle y aborde bien d’autres sujets, sous deux angles. D’un côté, accompagner les organismes dans la mise en place de cette fonction. De l’autre, aider à sa réalisation.

Au gré des fiches nourries de FAQ et d’encadrés, se dessine une fonction aux contours parfois flous. En particulier sur son périmètre d’action. Un certain nombre d’activités qui n’incombent en théorie pas au DPO peuvent lui revenir dans la pratique. Il en est ainsi, notamment, de la tenue du registre des traitements. Ou de la rédaction des règles internes.

Il existe aussi du flou sur des notions que le DPO est amené à appréhender. Illustration avec le « traitement à grande échelle » et le « suivi régulier et systématique ». Ce dernier n’est pas défini dans le RGPD, qui donne toutefois un exemple : le profilage en ligne à des fins de publicité comportementale.

DPO : attention aux conflits d’intérêts

Le guide de la Cnil ne manque pas non plus d’exemples. Sur les « traitements à grande échelle », on va du cas des partis politiques à celui des petits commerçants vs la grande distribution. Pour préciser les « activités de base », c’est celui d’une clinique.

La notion de conflit d’intérêt occupe également une part importante. Avec, entre autres thèmes traités :

– Peut-on désigner comme DPO un avocat ? un RSSI ? un représentant du personnel ?
– Une personne morale peut-elle être sous-traitante et DPO pour un même organisme ?
– Un DPO peut-il représenter seul son organisme auprès de la Cnil lors d’une audition sur convocation ?

La Cnil s’intéresse aussi à l’aspect contractualisation. Plus particulièrement lors du recours à des prestataires de services externes et/ou à des DPO mutualisés. Et rappelle les sanctions auxquelles s’exposent les organismes qui n’en auraient pas nommé un alors que la loi le leur impose : une amende pouvant atteindre 10 M€ ou 2 % du C. A. annuel.

* Une étude KPMG publiée en début d’année laissait apparaître un faible taux de DPO externes dans les entreprises françaises (7 %). Et un recours limité (10 %) aux prestataires externes pour coordonner les actions de mise en conformité.

DPO : fonction ou métier ?
Les deux, selon l’AFPA (Agence nationale pour la formation professionnelle). Fonction au sens où il s’agit d’un statut au sein d’une organisation, désigné en interne et auprès de la Cnil. Métier, car son exercice répond à une structuration de compétences singulières dans un domaine professionnel.


Photo d’illustration © Olivier Le Moal – Shutterstock