Droit, Ethique et Performance, Ensemble conduisons la Transition sociale

RGPD, Délégué à la Protection des Données : Appellation protégée !

Ethique & Compliance

La mise en conformité avec les dispositions du RGPD impose à certains responsables de traitements la désignation d’un Délégué à la Protection des données (DPO) qui remplace l’ex correspondant CNIL (CIL).

Cette désignation obligatoire est prévue par les dispositions de l’article 37 du Règlement :

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

A l’exception de ces trois situations, la désignation d’un DPO relève de l’appréciation souveraine du responsable de traitement.

Il n’est pas rare de lire sous la plume des commentateurs et des spécialistes de la matière que la désignation peut présenter certains avantages.

La CNIL précise sur son site qu’elle encourage la désignation volontaire.

Certes, mais elle comporte un risque très significatif, en effet, DPO volontaire ne signifie par DPO amateur !

Même désigné volontairement, le DPO est en tous points soumis aux dispositions réglementaires, à l’instar d’un DPO ayant été désigné de façon obligatoire.

Il devra être officiellement désigné auprès de la CNIL qui sera dès lors en droit de considérer qu’il répond favorablement à tous les critères qui régissent ses fonctions :

  • Avoir les compétences requises,
  • Disposer de moyens suffisants,
  • Agir en toute indépendance.

Interlocuteur privilégié de la CNIL, en particulier en cas de contrôle, une désignation qui ne serait que « cosmétique » est à proscrire car l’amateurisme serait très vite découvert et peu apprécié du Contrôleur.

Cette situation est d’autant plus risquée qu’en aucun cas il n’est possible de transférer au Délégué la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant.En termes plus directs, le DPO n’est pas un coupe circuit dont la désignation produirait les effets d’une délégation de pouvoirs !

Le responsable du traitement qui se livrerait à une désignation hasardeuse, encourt une amende de premier niveau dont le montant maximum est de 10 millions d’euros ou 2% du chiffre d’affaires mondial (art.83 § 3).

Le Règlement prévoit que les amendes doivent être effectives, proportionnées et dissuasives (art.83 § 1).

Le montant est fixé par la CNIL en prenant en compte plusieurs critères dont, la nature, la gravité et la durée de la violation, son caractère délibéré ou non, la responsabilité du responsable de traitement dans la violation, ses antécédents, son implication à se mettre conformité, sa coopération lors du contrôle.

A l’amende administrative peuvent s’ajouter ou se substituer l’imposition de mesures correctrices coercitives dont le non-respect est sanctionné par une amende de second niveau dont le montant maximum est de 20 millions d’euros ou 4% du chiffre d’affaires mondial (art.83 § 5 ).

Aussi, la recommandation est de s’abstenir de tout zèle inutile ou précipité, et de ne désigner, le cas échéant, qu’une personne pleinement apte à exercer cette fonction.

Dans un prochain article La Garanderie Avocats reviendra sur ces sanctions prévues par le RGPD et l’articulation possible avec celles prévues par le code pénal.

le 24/01/2019

Articles du même auteur

Rémunérations & Avantages Sociaux
Dans quelles conditions le cadre dirigeant peut-il bénéficier de l’activité partielle ?
Ni la Loi n° 2013-504 du 14 juin 2013 réformant l’activité partielle, ni la circulaire DGEFP n° 2103 -12 du 12 juillet 2013 ne mentionnaient parmi les bénéficiaires du dispositif les cadres...
[Lire la suite]
Publié le 11/05/2020
Dossier pratique Covid-19
Besoin d’un conseil lecture pour ce week-end prolongé ? -> Découvrez le dossier pratique « Covid19 – négocier un accord relatif au temps de travail » réalisé par La Garanderie...
[Lire la suite]
Publié le 10/04/2020
Rémunérations & Avantages Sociaux
Un salarié sous contrat de droit français mais basé à l’étranger peut-il bénéficier du chômage partiel ?
L’article 2.3. de la circulaire n°2013-12 du 12 juillet 2013 qui détaille le dispositif de chômage partiel applicable avant la crise du coronavirus exclue expressément du dispositif « les...
[Lire la suite]
Publié le 20/04/2020
Rémunérations & Avantages Sociaux
Est-il possible de ne pas octroyer de tickets-restaurant aux collaborateurs pendant leurs jours de télétravail?
NON si l’on en croit le Tribunal judiciaire de Paris qui a considéré qu’une telle différence de traitement était injustifiée (TJ Paris, 30 mars 2021, n° 20/09805). Dans l’espèce,...
[Lire la suite]
Publié le 21/10/2021

Nos experts du pilier : Ethique & Compliance

...
Elsa BENASSAIA
...
Saskia HENNINGER
...
Bertrand MERVILLE
...
Katia LENERAND
...
Louis CRESSENT
...
Dominique DE LA GARANDERIE

Les 6 Piliers de la Transition sociale

Dialogue Social & Relations Collectives
Rémunérations & Avantages Sociaux
Santé

Organisation & Bien-Être au travail
Libertés & Droits Humains

Ethique & Compliance