Data protection officerAlors quid sur le profil du CIL ? Mélange subtil entre connaissance des process du métier (le pluriel devient possible si le CIL est mutualisé), maîtrise du domaine juridique et conseil permanent envers la Direction, le DPO est promu à un avenir prometteur, d’autant que ce dernier occupe une place centrale dans la construction de la nouvelle réglementation européenne.

En effet, la nouvelle réglementation guide la désignation d’un DPO sur « la base de ses qualité professionnelles ». De plus, le Règlement général à la protection des données débute sans préliminaire par l’introduction d’une obligation de désignation d’un DPO. En outre, on note le changement immédiat de mentalité de l’article 37 qui pose néanmoins des conditions pour cette obligation.

En effet, si vous êtes une autorité ou un organisme public et/ou que vos activités de base consistent en des traitements de données sensibles « à grande échelle », l’obligation s’applique. Si la délimitation de ces critères semble relativement aisée, la troisième condition alternative l’est dans une moindre mesure par la formulation suivante : « les activités de base du responsable consistent en des opérations qui du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ». A la mention de cette phrase, l’instinct du juriste lui fait dégainer son scalpel pour décortiquer le texte, tel un glossateur des anciens temps. C’est avec déception que la lecture des termes « suivi régulier et systématique à grande échelle » apporte bien peu de réponse quant à la portée réelle de la désignation obligatoire d’un DPO. Si la condition semble favoriser les traitements mis en œuvre au plan national a minima, le caractère régulier et systématique du suivi semble jouer sur l’oxymore avec la désignation du DPO puisque, par définition, un organisme nommant un CIL le fait justement pour ces raisons-là.

Êtes-vous dans l’obligation de désigner un DPO ? Pas forcément du fait de l’incertitude régnant autour de la troisième condition expliquée ci-dessus. Est-il recommandé de désigner un DPO ? Cela ne fait plus aucun doute. L’introduction des nouvelles notions juridiques et notamment des nouveaux droits alloués aux personnes concernées nécessite la désignation d’une personne experte sur le sujet, d’autant que les nouvelles sanctions consacrées par l’Europe font désormais frémir les géants de l’Internet. A ce titre, il apparaîtra complexe pour Google de tenter d’établir une recette du « sandwich hollandais » et du « double irlandais » (non, il ne s’agit pas de gastronomie). De plus, la configuration « multitâches » d’un DPO ne le cantonnera pas à une simple veille juridique et technologique : sa désignation permettra le renforcement permanent des sécurités physique, logique et juridique de votre organisme, notamment à notre époque où les organismes français restent encore trop vulnérables face à la cybercriminalité.

Auteur: Bertrand PLAU, Juriste NTIC, ACTECIL

Comments are closed.