Les DPO et la protection des données
La CNIL a récemment publié une enquête qui montre l’importance croissante du métier de délégué à la protection des données (DPO), dont la nomination est souvent obligatoire, notamment dans les collectivités.
Le ministère du Travail a publié les résultats de l’étude annuelle du métier de délégué à la protection des données, réalisée avec le soutien de la CNIL. Cette enquête montre une diversification des profils et une importance croissante du métier de DPO.
L’étude met en valeur les grandes dynamiques et évolutions du métier entre 2019 et 2021. Les principaux constats sont les suivants :
- 58 % des DPO sont satisfaits de l’exercice de leur fonction et 87 % sont convaincus de l’utilité de leur fonction ;
- 47 % d’entre eux sont issus d’autres domaines d’expertise que le droit et l’informatique (+ 12 points depuis 2019). Il s’agit par exemple de profils administratifs et financiers, ou en lien avec la qualité ou la conformité-audit ;
- 1/3 n’ont suivi aucune formation Informatique et Libertés/RGPD depuis 2016 (+ 7 points), alors même qu’ils sont de plus en plus nombreux à n’être ni juristes, ni informaticiens.
Ce dernier constat sera particulièrement étudié par la CNIL, qui rappelle l’obligation des responsables de traitements et des sous-traitants ayant désigné un DPO de leur fournir les ressources nécessaires pour entretenir des connaissances spécialisées.
Avec le développement du numérique et de la mobilité qu’il induit, les données sont au cœur des préoccupations. En témoignent le RGPD et ses exigences à l’échelle européenne.
Ainsi, en France, la désignation d’un délégué à la protection des données est obligatoire pour les organismes publics et les entreprises dont l’activité de base les conduit à réaliser un suivi régulier et systématique des personnes à grande échelle et/ou collectant et ré-utilisant des données sensibles ou relatives à des condamnations pénales et des infractions.
Dans tous les cas, la CNIL rappelle que la désignation d’un DPO est fortement recommandée de manière générale. Le délégué à la protection des données permet d’accompagner à la conformité au RGPD, de répondre aux demandes d’exercice de droits des personnes et de réduire les risques de contentieux.
Fin avril 2022, la CNIL a mis en demeure 22 grandes villes qui n’avaient pas encore de DPO. En effet, depuis l’entrée en vigueur du RGPD, toutes les collectivités doivent nommer un tel délégué, mais à l’image des responsables des services numériques, certaines communes peinent à se conformer à la loi.
L’observatoire Data Publica a ainsi mesuré que moins de la moitié (47 %) des communes ont nommé un DPO au 1er janvier 2022. Derrière ce chiffre, de grandes disparités en fonction de la taille et des budgets des villes. Si toutes les villes de plus de 100.000 habitants ont un délégué à la protection des données, 44 % des communes de moins de 3.500 habitants en ont un.
« C’est important et normal que la CNIL fasse un rappel à l’ordre », souligne Jacques Priol, président de Data Publica, d’autant que c’est principalement dans les plus grandes villes que se développent les nouveaux usages de la donnée, de type smart city.
Là encore, à l’image de la question de la gestion des services informatiques, la mutualisation représente une solution au défi du budget limité. Selon l’étude, 84 % des communes de moins de 3.500 habitants ayant un DPO ont recours à une solution de mutualisation.
Ainsi, le syndicat mixte cantalou Agedi est le DPO de 2009 communes, l’Adico, dans l’Oise de 1332 communes et Soluris, en Charente-Maritime et dans les Deux-Sèvres assure ce rôle pour 425 communes.
Les centres de gestion assurent aussi ces fonctions comme en Meurthe-et-Moselle, où 277 communes bénéficient de l’accompagnement du centre de gestion départemental pour la protection des données.
La CNIL accompagne les délégués à la protection des données dès leur désignation et tout au long de l’exercice de leurs missions. Le site de la CNIL contient de nombreuses ressources, de la prise de fonction à la réponse aux questions liées à la mise en œuvre du RGPD.
Plusieurs outils pratiques sont également mis à leur disposition, comme l’outil PIA pour les analyses d’impact sur la protection des données. Ils peuvent également parfaire leur compréhension des textes en consultant les lignes directrices du Comité européen de la protection des données, se tenir à jour de l’évolution de la position de la CNIL en consultant ses productions sectorielles, les sanctions et les mises en demeure publiques, et en procédant à une auto-évaluation de la maturité de leur organisme en matière de protection des données.