Un rapport du Comité européen de la protection des données identifie les obstacles auxquels sont confrontés les délégués à la protection des données.
Or, ces délégués ont un rôle important dans la mise en conformité au règlement général sur la protection des données (RGPD).
Le Comité européen de la protection des données (European Data Protection Board – EDPB) a publié, le 17 janvier 2024, un rapport sur les conclusions d’une action au niveau européen qui porte sur la désignation et la position des délégués à la protection des données (DPD).
Qu’est-ce qu’un délégué à la protection des données ?
Le règlement général de protection des données (RGPD), mis en place en 2018, a créé la fonction de délégué à la protection des données (DPD).
La mission première du DPD est de conseiller et d’accompagner l’organisme qui le désigne afin de faire respecter le règlement européen en matière de protection des données personnelles.
Selon la Commission nationale de l’informatique et des libertés (CNIL), la nomination d’un DPD est obligatoire pour :
- toute autorité publique ou organisme public (collectivités territoriales, État, établissements publics…),
- les organismes dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d’assurance, banques, opérateurs téléphoniques ou fournisseurs d’accès internet qui disposent de fichiers clients…),
- les organismes dont les activités les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé…) ou relatives à des condamnations pénales et infractions.
Le délégué coopère avec l’autorité de contrôle qui veille, à l’échelon national, à la mise en vigueur du RGPD.
Chaque État membre de l’Union européenne possède sa propre autorité de protection des données (APD).
En France, il s’agit de la CNIL.
Des disparités de moyens entre les délégués
Selon les enquêtes menées au cours de l’année 2023 par 25 autorités de contrôle de l’Espace économique européen (EEE), la majorité des DPD interrogés disposent généralement de moyens suffisants à l’accomplissement de leurs missions, conformément au RGPD. Ils sont, le plus souvent, associés aux décisions en lien avec les données personnelles et constatent que leurs avis sont généralement pris en compte.
Toutefois, certaines difficultés ont été rencontrées :
- absence de désignation d’un DPD, même si elle est obligatoire,
- ressources insuffisantes allouées au DPD,
- manque de connaissances spécialisées et de formation du DPD,
- manque d’indépendance du DPD ou conflits d’intérêt,
- absence de rapport du DPD au plus haut niveau de la direction de l’organisme.
La CNIL souligne, par ailleurs, d’importantes disparités de moyens entre les DPD de grandes entreprises et ceux des petites collectivités.
Ainsi, les délégués du secteur public exercent souvent leurs fonctions seul, tandis que les délégués du secteur privé bénéficient généralement d’une équipe pour les soutenir.
Le rapport de l’EDPB préconise un renforcement des activités de sensibilisation, d’information et d’application de la loi de la part des autorités de protection des données (APD).
