Certaines entreprises, ainsi que les autorités et organismes publics, sont tenus de désigner un délégué à la protection des données, en application des articles 37 du Règlement Général sur la Protection des Données (appelé RGPD) et 57 de la loi n°78-17 relative à l’informatique, aux fichiers, et aux libertés (ci après « LIL »).  

Le délégué à la protection des données, dont l’acronyme anglais DPO -data protection officer- est souvent préféré à DPD, a pour mission de veiller au respect du RGPD et de la LIL par celui qui le désigne et est le point de contact de la CNIL et des tiers. 

 

1. Qui est concerné par l'obligation de désigner un délégué à la protection des données ?

L’article 37 du RGPD liste les personnes qui sont tenues de désigner un DPO, qu’elles soient responsables de traitements ou sous-traitants au sens dudit règlement.

Concrètement, il s’agit : 

1° des autorités publiques et organismes publics, dont font partie les collectivités territoriales et leurs groupements, les établissements publics locaux, les ministères etc. 

2° des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle c’est-à-dire les hôpitaux, les compagnies d’assurance, les banques, les fournisseurs de service de téléphonie ou d’internet, les entreprises qui traitent des données pour la mise en place de programmes de fidélité, de surveillance des données sur la santé, des dispositifs connectés etc.

3° des organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales. Il s’agit notamment des partis politiques ayant de nombreux adhérents, des syndicats actifs à l’échelle nationale, des associations du secteur social ou médico-social, des instances religieuses ayant une base de données importante etc. 

Ainsi, les médecins et les avocats exerçant à titre individuel ne sont pas soumis à l’obligation de désigner un DPO.

Néanmoins, les médecins exerçant en cabinet groupé, qui partagent un système d’information et qui ont plus de 10 000 patients par an doivent désigner un DPO, comme l’indique le référentiel sur la gestion des cabinets médicaux et paramédicaux. 

Les pharmaciens d’officine devraient désigner un DPO lorsqu’ils ont une activité globale annuelle de plus de 2 600 000 € HT, selon le guide édicté par la CNIL et le Conseil National de l’Ordre des Pharmaciens (CNOP). 

Par ailleurs, le Comité européen de la protection des données (CEPD) encourage la désignation d’un DPO pour les organismes privés chargés d’une mission de service public, dans ses lignes directrices concernant les DPO. En conséquence, les instances ordinales, par exemple, devraient désigner un DPO.

La CNIL doit être informée de la désignation du DPO, laquelle devra comporter les éléments listés à l’article 83 du décret n° 2019-536 du 29 mai 2019. En pratique, la CNIL permet de désigner un DPO via son site internet.

Enfin, il est nécessaire de documenter sa décision de ne pas désigner de DPO lorsque cette obligation semble être applicable à un organisme. 

 

2. DPO interne ou externe, mutualisé ou non.   

Le DPO peut être un salarié, ou un agent, de l’organisme qui l’emploie. Il peut également être externe à cet organisme, auquel cas il exercera sur la base d’un contrat de service.

Pour faire le choix du mode d'exercice du DPO, il est indispensable de considérer que celui-ci devra être associé à toutes les questions relatives à la protection des données, que l’exercice de ses missions ne doit pas entrainer de conflit d’intérêt et qu’il est indépendant. Autrement dit, il ne devra recevoir aucune instruction dans l’exercice de ses missions, de même qu’il ne pourra pas être pénalisé pour l’exercice de celles-ci. (art. 38.3 RGPD).
En tout état de cause, le DPO doit connaître votre secteur d'activité, pour comprendre vos problématiques et savoir appréhender les risques. 

Le DPO, interne ou externe, peut également être désigné pour un groupe d’entreprises, ou encore plusieurs autorités ou organismes publics, à la condition qu’il soit joignable par chaque entité concernée. Dans ce cas, une convention déterminera les conditions de la mutualisation. 

Le DPO externe peut être un avocat. Cela est évident compte tenu de l’impératif de désigner un DPO sur la base « de ses connaissances spécialisées du droit et des pratiques en matière de protection des données », posé par l’article 37.5 du RGPD.

A cela, ajoutons que des questions juridiques se posent très souvent au cours de la pratique de la fonction de DPO. Or, la fourniture des consultations juridiques est une activité réservée à certains professionnels, comme le prévoit la loi n°71-1130 du 31 décembre 1971. 

Par conséquent, les expert RGPD et consultant DPO qui ne sont pas avocats et qui proposent des consultations juridiques risquent la nullité de leur contrat de service, ainsi que la restitution des honoraires perçus (C.cass, civ. 1ère, 5 juin 2019, 17-24.281; cass. com. 26 juin 2019, n° 18-13.689). 

L’avocat DPO, en plus d’avoir des connaissances spécialisées en droit, pourra fournir des consultations juridiques.  

Il faut noter l’avocat DPO ne peut en aucun cas dénoncer son client. En outre, il doit refuser de représenter le client pour lequel il a été DPO dans le cadre de procédures administratives ou judiciaires concernant la protection des données personnelles (art. 6.3.3 RIN).

 

3. Les sanctions en cas de manquement à l'obligation de désigner un DPO

La CNIL peut sanctionner un organisme qui n’a pas désigné de DPO alors qu’il y était tenu. 

Cette sanction peut être, notamment, 1° un rappel à l’ordre, 2° une injonction de se mettre en conformité - éventuellement avec une astreinte inférieure à 100k€ par jour de retard-, 3° la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée par la CNIL. (art. 20.IV LIL) 

L’organisme concerné risque également une amende administrative ne pouvant excéder 10 millions d’euros ou 2% du CA annuel mondial total de l’exercice précédent pour les entreprises. 

Le 25 avril 2022 la CNIL a mis en demeure 22 communes de désigner un délégué à la protection des données (cf. not. décisions MED n°2022-032, 2022-037, 2022-042, 2022-043, 2022-046,2022-048). 

Par décision du 12 décembre 2023, la CNIL a même sanctionné une commune à 5000 euros d’amende pour défaut de désignation d’un DPO (décision SAN-2023-018).

Il est donc primordial d'évaluer si votre structure est soumise à cette obligation et, le cas échéant, choisir et désigner un DPO qui saura vous accompagner dans votre démarche de mise en conformité au RGPD. 

Pour toute information complémentaire sur le sujet, vous pouvez me contacter via ce site ou par email à jessy.pollux@avocat.fr.

Me Jessy POLLUX Avocat DPO Médiateur