« La simple nomination d’un D.P.O. auprès de l’autorité de contrôle compétente, qu’il soit interne ou externe, est bien évidemment insuffisante. Les responsables de traitement ou sous-traitant doivent analyser leurs besoins préalablement à toute désignation d’un D.P.O. L’organisation interne doit permettre d’impliquer le D.P.O. dans tous les sujets afin qu’il puisse effectuer sa mission »

La CNDP, l’autorité de contrôle luxembourgeoise de protection des données a prononcé une sanction financière à une entreprise (société d’assurance) sur des manquements constatés concernant la désignation de leur DPO (Délégué à la Protection des Données Personnelles).

C’est à ma connaissance, la première sanction pécuniaire sur des manquements concernant l’exercice de la fonction du DPO. La CNDP s’appuie sur les articles 37, 38 et 39 du RGPD pour fonder sa sanction. En effet, le règlement précise quelques éléments fondateurs sur les conditions de la désignation et de l’exercice de la fonction du DPO.

Cette décision est un jalon important et fournit de précieuses informations sur l’interprétation des exigences du RGPD sur le profil du DPO, ses compétences et surtout ses conditions d’exercice.

Le principal reproche qui est fait dans ce cas d’espèce, est l’absence de participation formalisée et systématique du DPO aux réunions pertinentes de l’entreprise. Ce qui caractérise un manquement à l’article 28.1 du RGPD. « Le responsable de traitement veille à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. »

Un plan de contrôle

En second plan, la CNPD considère qu’un organisme doit disposer d’un plan de contrôle formalisé et ce, même non encore exécuté. Cet outil permet au DPO d’effectuer ses missions de contrôle de manière adéquate et d’en rapporter la preuve.

L’autorité relève que la seule tenue d’un registre des traitements ne suffit pas à démontrer la bonne exécution de la mission de contrôle.

L’absence d’un plan de contrôle formalisé en matière de protection des données caractérise un manquement à l’article 39.1. b) du RGPD. « Les missions du délégué sont au moins les suivantes : (…) contrôler le respect du règlement (…) et des règles internes du responsable de traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant ».

D’autres manquements avaient été relevés lors du contrôle de la CNPD mais ont été écartés lors de la prise de décision de sanctions. Les informations présentées à posteriori ont contenté l’autorité de contrôle dans sa conclusion.

Néanmoins, il convient d’y attacher l’importance que la CNPD avait décidé de porter à ces aspects de conformité :

  • L’expérience professionnelle en matière de protection des données doit être démontrée
  • Le DPO doit disposer des moyens (temps, accès à l’information, ressources) nécessaires pour exercer sa mission ainsi que d’un accès et du support d’autres services (juridique, informatique, sécurité)

En conclusion, la simple nomination d’un DPO auprès de l’autorité de contrôle compétente, qu’il soit interne ou externe, est bien évidemment insuffisante. Les responsables de traitement ou sous-traitant doivent analyser leurs besoins préalablement à toute désignation d’un DPO. L’organisation interne doit permettre d’impliquer le DPO dans tous les sujets afin qu’il puisse effectuer sa mission.