RGPD DPO

Interview de Maître Deroulez : l’avocat DPO

Maître Deroulez

Voilà maintenant cinq ans que le Règlement Général sur la Protection des Données dit RGPD est entré en vigueur. Si le RGPD à permis d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement il est également à l’origine du Data Protection Officer (DPO). L’avocat peut également endosser le rôle du DPO. Pour en parler, j’ai l’honneur et le plaisir de recevoir Maître Deroulez qui a eu la gentillesse de répondre à mes questions.

  1. En qu’avocat comment et pourquoi êtes-vous devenu DPO ?

Avocat, j’interviens principalement en droit des données personnelles. Au fur et à mesure de mes missions et de l’accompagnement de mes clients, j’ai pris conscience de la nécessité pour ces derniers d’être accompagné au long cours et notamment en tant que DPO externalisé. Il y a en tous cas une demande forte, à laquelle les avocats ont beaucoup à apporter selon moi.

Cette mission nécessite cependant d’être bien comprise, pour satisfaire aux exigences du RGPD (et au périmètre du DPO) d’une part et à la déontologie de l’avocat d’autre part. Être DPO, c’est aussi une façon privilégiée de suivre de façon quasi quotidienne les problématiques liées à la protection des données, d’intervenir dans le cadre de la gouvernance des données et de participer à la prise en compte du sujet « protection des données personnelles ». Plus concrètement, c’est aussi une manière de voir comment l’intégration du droit fondamental à la protection des données est intégrée, quelles que soient les personnes concernées (usages, clients, consommateurs, etc…).

  1. Pourriez-vous nous dire quelle est la différence entre DPO et CIL ?

Le Data Protection Officer (DPO) succède au Correspondant Informatique et Libertés (CIL).

Jusqu’en mai 2018, le CIL était en charge d’assurer les missions relatives à la protection des données personnelles, auprès de la CNIL. Le DPO est son successeur et leurs statuts sont similaires.

Pour autant, le CIL ne devient pas automatiquement Délégué à la protection des données puisqu’une déclaration en ligne sur le site de la CNIL est nécessaire.

Les prérogatives et missions du DPO sont renforcées par rapport au CIL, s’agissant en particulier de son rôle de conseil et de sensibilisation sur les nouvelles obligations du RGPD. De plus, le règlement précise les exigences portant sur le délégué s’agissant de ses qualifications à savoir les qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données ainsi que sa formation continue (entretien de ses connaissances spécialisées).

La différence majeure qui réside entre le DPO et le CIL est liée au fait que la désignation du CIL était facultative, tandis que celle du DPO est obligatoire dans certaines circonstances. C’est notamment le cas pour les autorités ou les organismes publics, les organismes, dont les activités de base, les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base, les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

À ce titre, une entreprise qui a pour obligation de nommer un DPO et qui ne s’en charge pas s’expose à une sanction. Aux termes de l’article 86 du RGPD, l’entité risque de se voir infliger une amende administrative par l’autorité de contrôle compétente (la CNIL en France). Pour une telle violation, l’amende encourue est de 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Le DPO doit également être désigné dans le domaine de la santé notamment pour certaines recherches cliniques nécessitant une déclaration de conformité à des méthodologies de recherche par exemple MR001, MR003, MR004, MR005, MR006.

  1. Quelle est la mission d’un avocat DPO ?

La mission d’avocat et de DPO est parfois proche, notamment pour le conseil. Pour autant, un DPO a pour avantage d’être le point de contact entre la CNIL et son client et de favoriser les échanges, que ce soit pour l’accompagnement dans la réalisation d’un projet ou en cas de contrôle. Être le point de contact permet d’avoir un lien particulier avec la CNIL ou toute autre autorité de contrôle. De la même façon, ce rôle implique un suivi et une veille quotidienne de l’actualité des régulateurs européens.

Point de contact, le DPO joue ainsi un rôle d’interface. Au-delà de sa mission générale de conseil, le DPO doit également connaître avec précision le secteur dans lequel intervient chacun de ses clients. Par exemple, le domaine de la recherche en santé nécessite d’avoir une vision claire de l’écosystème et acteur et des enjeux spécifiques liés au traitement de données personnelles, de façon à ce que le DPO puisse jouer son rôle en toute indépendance.

De manière générale, le DPO accompagne la mise en conformité des traitements de données personnelles réalisés par ses clients, qu’ils agissent comme responsables de traitement ou sous-traitants. À cette fin, l’avocat intervenant en qualité de DPO doit véritablement se mettre dans une position de facilitateur de projets et doit chercher les solutions les plus adéquates pour ses clients, tout en s’assurant d’un haut niveau de protection des données personnelles.

  1. Pourriez-vous expliquer simplement les étapes d’une mise en conformité au RGPD ?

Les missions de mise en conformité peuvent intervenir dans des contextes très différents (M&A, suite à un contrôle de la CNIL ou dans le cadre d’un changement de gouvernance). Elles procèdent cependant de façon assez similaires et supposent un travail de documentation important.

La mise en conformité RGPD commence très généralement par une revue du site internet du client dans la mesure où la majorité des acteurs disposent désormais d’un site internet. L’audit du site permet déjà de tirer des conclusions provisoires quant aux actions de conformité déjà mises en place ou nécessaires (présence d’une politique de confidentialité, formulaires de recueil du consentement, transparence et information…). La question des cookies occupe une place spécifique du fait de l’actualité : à ce titre, la CNIL veille à ce que le dépôt de cookies se fasse conformément à ses recommandations et a d’ores et déjà réalisé une première campagne de contrôle en 2021. Par ailleurs, la mise en conformité du site internet suppose également de s’assurer du respect des règles de sécurité informatique.

La seconde étape consiste à cartographier l’ensemble des flux de données qui transitent au sein de la structure à mettre en conformité. Cette étape centrale consiste à scanner l’ensemble des traitements et recenser les informations principales (types de données, personnes concernées, durée de conservation, mesures de sécurité, destinataires et sous-traitants). C’est sur la base de ce registre de traitement, qui n’est pas obligatoire, mais recommandé, que la politique de mise en conformité sera déterminée et les actions planifiées.

La plus-value de l’avocat DPO réside dans sa capacité de cartographie exhaustive des flux de données, mais surtout dans les étapes ultérieures et notamment en vue de reprendre la documentation contractuelle entre responsable de traitement et sous-traitants au titre des traitements de données personnelles réalisés. La mise en conformité suppose aussi de prendre en compte la nature des données personnelles, mais également les transferts effectués, potentiellement à l’international afin de s’assurer de la présence d’un cadre légal pour ce transfert. Au-delà des étapes classiques de mise en conformité, le RGPD pose des problématiques dans des situations particulières, en fonction de la nature des données (données sensibles, NIR, etc.) notamment.

Par ailleurs, la mise en conformité suppose d’intégrer toute la problématique de la sécurité des données (conformément aux exigences des articles 5 et 32 du RGPD) et de la prévention des violations de données. Les nouveaux traitements mis en place supposent aussi le déploiement d’analyses d’impact, si nécessaire, avec là encore un rôle actif du DPO parmi les personnes devant être consultées.

Enfin, il faut souligner que la mise en conformité implique de mettre en place une gouvernance « dynamique » et à long terme. Réaliser des actions de mise en conformité et considérer que la protection des données personnelles n’est plus une question à laquelle accorder de l’importance serait une erreur. C’est la raison pour laquelle la documentation RGPD doit être mise à jour régulièrement (registres, notices d’information) et intégrer des audits et des évaluations au fur et à mesure.

  1. Le RGPD est-il une contrainte ou une opportunité ?

À l’instar d’autres réglementations novatrices ayant pour vocation de fixer un haut niveau d’exigence, le RGPD peut être appréhendé soit comme une contrainte supplémentaire soit comme une nouvelle opportunité commerciale.

En effet, ce dernier texte a renforcé les droits des personnes dont les données sont traitées et en a créé de nouveaux, notamment le droit à la portabilité. Porté par une volonté de se réapproprier les données personnelles, ce droit permet de demander au responsable de traitement (organisme qui collecte, traite et conserve les données) de récupérer les données générées par l’activité issue de l’utilisation du service dans certaines hypothèses (si la collecte de données repose sur le consentement de la personne ou l’exécution d’obligations contractuelles).

En conséquence, le droit à la portabilité permet de mettre en concurrence différents acteurs d’un même marché au bénéfice du consommateur, point qui a été noté par les autorités de la concurrence.

Dans un autre contexte, en fixant un haut niveau de sécurité le RGPD permet de rassurer le consommateur sur l’utilisation qui est faite de ses données. Au vu du travail de pédagogie et de sensibilisation sur l’importance de protéger sa vie privée et les données personnelles, une entreprise vertueuse aura une meilleure image auprès de ses clients. Et cette règlementation permet ainsi de renforcer le droit fondamental à la protection des données.

Ainsi, la CNIL propose des certifications afin de faire valoir les bonnes pratiques en matière de gestion des données personnelles, de la même manière qu’un grand nombre d’entreprises cherchent à faire valoir la protection des données au titre de leur politique RSE.

Le RGPD constitue enfin une opportunité pour les avocats au titre de l’importance accordée à la protection des données et au rôle qu’il leur permet de jouer, tant en contentieux qu’en conseil. Le droit de la protection des données loin de se cantonner à un aspect du droit peut au contraire irriguer de nombreuses pratiques (en fusion-acquisition, en droit social ou en droit pénal par exemple).

 

Merci, Maître Deroulez, pour cette interview

LW

Express Your Reaction
Like
Love
Haha
Wow
Sad
Angry

2 réflexions sur « Interview de Maître Deroulez : l’avocat DPO »

  1. Il faut dire que le DPO présente bien des avantages. Mais ce qui attire le plus est son indépendance. Et en tant que conseil auprès de l’organisme, le risque de conflit d’intérêts est levé.

  2. Beaucoup de personnes disent que les avocats des affaires sont les avocats qui gagnent le mieux leur vie. En lisant cet article, je trouve que ce jugement est faux, car ce genre de métier évolue rapidement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *