Article 39 Missions du délégué à la protection des données

Mission d'information et de conseil

La première mission du DPO, énoncée au paragraphe 1, point a) de l'article 39, consiste à informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui procèdent au traitement, sur les obligations qui leur incombent en vertu du RGPD et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données.

Cette mission implique que le DPO assure une fonction de veille juridique et réglementaire, afin de tenir l'organisation informée des évolutions législatives, des lignes directrices des autorités de contrôle, de la jurisprudence de la Cour de justice de l'Union européenne (CJUE) et des bonnes pratiques en matière de protection des données. Le DPO doit également accompagner les équipes opérationnelles dans l'interprétation et l'application des exigences du RGPD aux situations concrètes rencontrées par l'organisation.

Le conseil du DPO doit être sollicité en amont des projets impliquant des traitements de données personnelles, conformément à l'exigence d'association du DPO en temps utile prévue à l'article 38. Le DPO formule des recommandations visant à garantir la conformité des traitements et à réduire les risques pour les droits et libertés des personnes concernées.

Mission de contrôle de la conformité

La deuxième mission du DPO, énoncée au paragraphe 1, point b) de l'article 39, consiste à contrôler le respect du RGPD, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données, ainsi que des règles internes de l'organisation en matière de protection des données personnelles. Cette mission de contrôle couvre notamment la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, ainsi que les audits s'y rapportant.

Le DPO assure ainsi une fonction de contrôle interne de la conformité, en vérifiant que les traitements de données personnelles sont réalisés dans le respect des obligations légales et des politiques internes de l'organisation. Cette mission implique que le DPO ait accès à l'ensemble des informations nécessaires, notamment les registres de traitement, les politiques de sécurité, les contrats de sous-traitance et les procédures de gestion des droits des personnes.

Le DPO peut mettre en place des audits périodiques ou ponctuels pour vérifier la conformité des traitements, évaluer l'efficacité des mesures de sécurité et identifier les écarts par rapport aux exigences du RGPD. Les résultats de ces audits doivent être portés à la connaissance de la direction de l'organisation, conformément à l'exigence de reporting direct au plus haut niveau de la direction prévue à l'article 38.

Mission de conseil sur les analyses d'impact

La troisième mission du DPO, énoncée au paragraphe 1, point c) de l'article 39, consiste à dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données (AIPD) et à vérifier l'exécution de celle-ci en application de l'article 35 du RGPD. Cette mission fait du DPO un acteur central de la gestion des risques liés aux traitements de données personnelles.

L'article 35 du RGPD impose au responsable du traitement de consulter le DPO lors de la réalisation d'une AIPD. Le DPO intervient pour conseiller sur la méthodologie de l'AIPD, identifier les risques pour les droits et libertés des personnes, évaluer les mesures d'atténuation envisagées et vérifier que l'AIPD est réalisée de manière complète et rigoureuse.

Le DPO vérifie également que les conclusions de l'AIPD sont effectivement prises en compte dans les décisions relatives au traitement et que, le cas échéant, une consultation préalable de l'autorité de contrôle est réalisée conformément à l'article 36 du RGPD lorsque l'AIPD révèle un risque élevé résiduel.

Mission de coopération avec l'autorité de contrôle

La quatrième mission du DPO, énoncée au paragraphe 1, point d) de l'article 39, consiste à coopérer avec l'autorité de contrôle compétente. Cette mission fait du DPO un interlocuteur privilégié de l'autorité de contrôle, facilitant le dialogue entre l'organisation et l'autorité dans le cadre des procédures de contrôle, de consultation préalable, de gestion des violations de données ou de traitement des réclamations.

Le DPO assure une fonction de liaison entre l'organisation et l'autorité de contrôle, en transmettant les demandes d'information, en facilitant les inspections et en contribuant à la résolution des problématiques de conformité soulevées par l'autorité. Cette coopération doit être menée dans le respect de l'indépendance du DPO et de son obligation de confidentialité prévue à l'article 38.

Mission de point de contact

La cinquième mission du DPO, énoncée au paragraphe 1, point e) de l'article 39, consiste à faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et à mener des consultations, le cas échéant, sur tout autre sujet. Cette mission complète la fonction de coopération avec l'autorité de contrôle en désignant le DPO comme l'interlocuteur de référence de l'organisation en matière de protection des données.

Le DPO est également le point de contact pour les personnes concernées, conformément à l'article 38, paragraphe 4 du RGPD. Les personnes peuvent s'adresser au DPO pour toutes les questions relatives au traitement de leurs données personnelles et à l'exercice de leurs droits. Bien que le DPO ne soit pas juridiquement responsable du traitement des demandes d'exercice des droits, il joue un rôle essentiel d'accompagnement et de conseil auprès des personnes concernées.

Approche fondée sur les risques

Le paragraphe 2 de l'article 39 précise que le DPO tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement. Cette approche fondée sur les risques implique que le DPO hiérarchise ses interventions en fonction de la sensibilité des données traitées, du volume de personnes concernées, des conséquences potentielles pour les droits et libertés des personnes et du niveau de risque identifié.

Cette approche garantit que le DPO concentre ses efforts et ses moyens sur les traitements présentant les enjeux les plus importants en matière de protection des données, tout en assurant une couverture minimale de l'ensemble des activités de traitement de l'organisation. Elle s'inscrit dans la logique générale du RGPD, qui impose une gestion proportionnée et adaptée des risques liés aux traitements de données personnelles.

Articulation avec les autres dispositions du RGPD

L'article 39 s'articule étroitement avec les articles 37 et 38 du RGPD, qui définissent respectivement les cas de désignation obligatoire du DPO et son statut d'indépendance. Les missions énumérées à l'article 39 conditionnent l'effectivité de la fonction DPO et nécessitent que le DPO dispose des moyens, de l'indépendance et des garanties prévus à l'article 38.

Les missions du DPO s'articulent également avec de nombreuses autres dispositions du RGPD, notamment l'obligation de tenir un registre des activités de traitement (article 30), l'obligation de réaliser une analyse d'impact (article 35), l'obligation de consultation préalable de l'autorité de contrôle (article 36), l'obligation de notification des violations de données (articles 33 et 34) et l'obligation de coopérer avec les autorités de contrôle (articles 55 et suivants).

Jurisprudence relative à l'article 39

À ce jour, peu de décisions jurisprudentielles portent spécifiquement sur l'article 39, en raison de son caractère opérationnel et de la difficulté à isoler un manquement aux missions du DPO d'autres violations du RGPD. Toutefois, plusieurs autorités de contrôle européennes ont sanctionné des responsables de traitement pour défaut d'association du DPO aux questions de protection des données ou pour insuffisance des moyens mis à disposition du DPO pour accomplir ses missions.

La CNIL française a également rappelé, dans plusieurs délibérations, que l'efficacité du DPO constitue un élément central de l'appréciation de la conformité globale de l'organisation. Un DPO qui ne dispose pas des moyens suffisants pour accomplir ses missions ou qui n'est pas associé en temps utile aux projets de traitement ne peut garantir la conformité de l'organisation au RGPD.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices WP 243 relatives aux délégués à la protection des données, qui précisent les missions du DPO et fournissent des recommandations pratiques pour leur accomplissement. Le CEPD recommande notamment que le DPO établisse un plan de travail annuel, définissant les priorités et les actions à mener en matière de conformité, de sensibilisation, de contrôle et de coopération avec l'autorité de contrôle.

La CNIL encourage les organisations à formaliser les missions du DPO dans une charte ou une lettre de mission, précisant les moyens alloués, les droits d'accès à l'information, les modalités de reporting et les objectifs assignés au DPO. Cette formalisation permet de clarifier les attentes et de garantir que le DPO dispose des conditions nécessaires pour accomplir efficacement ses missions.

Le CEPD insiste également sur l'importance de la formation et de la sensibilisation des équipes de l'organisation aux exigences du RGPD, mission essentielle du DPO prévue au paragraphe 1, point b) de l'article 39. Une organisation dont les équipes sont formées et sensibilisées aux enjeux de protection des données est plus à même de respecter ses obligations et de prévenir les violations de données.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'article 39 impose de définir clairement les missions du DPO et de lui fournir les moyens nécessaires pour les accomplir. Le DPO doit être associé à l'ensemble des projets impliquant des traitements de données personnelles, dès la phase de conception, afin de formuler des recommandations et d'identifier les risques avant que les décisions ne soient définitivement arrêtées.

L'organisation doit également faciliter l'exercice par le DPO de ses missions de contrôle interne, en lui donnant accès à l'ensemble des informations et documentations nécessaires, en autorisant la réalisation d'audits et en garantissant que les résultats de ces audits sont portés à la connaissance de la direction et pris en compte dans les décisions relatives aux traitements.

Enfin, l'organisation doit publier les coordonnées du DPO de manière visible et accessible, afin de permettre aux personnes concernées et à l'autorité de contrôle de prendre contact avec le DPO sur toutes les questions relatives à la protection des données personnelles.