Le Règlement européen sur la protection des données à caractère personnel qui entrera en vigueur le 25 mai 2018 crée la nouvelle profession de délégué à la protection des données (DPO), dont la désignation est obligatoire si le responsable de traitement de données à caractère personnel appartient au secteur public ou si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites particulières ou relatives à des condamnations pénales, ou des infractions.
Ce texte réglementaire laissant de nombreuses parts d’ombre quant à l’exercice par le DPO de ses fonctions, l’AFCDP a réfléchi à une charte déontologique des DPO destinée à valoriser leur statut auprès des responsables de traitement de données à caractère personnel, en s’assurant qu’ils respectent une certaine éthique dans l’exercice de leur profession.
L’adhésion à cette charte est facultative et ne nécessite pas d’être membre de l’association. Pour être valide, la charte doit porter la signature à la fois du DPO et du responsable de traitement ou du sous-traitant, puis doit être adressée à l’AFCDP en un exemplaire original. L’AFCDP autorise ensuite l’apposition par le DPO d’un logo spécifique et inscrit sur son site Internet les DPO qui ont signé ladite charte.
L’un des premiers apports de cette charte consiste à fournir une définition du délégué à la protection des données, considéré comme « tout professionnel, personne physique ou morale, désigné auprès de la CNIL au titre du RGPD ».
La charte fait également la liste des missions du DPO, détaillée comme suit :
– participer à la conformité des traitements et veiller en toute indépendance au respect de la loi,
– établir et maintenir la liste des traitements,
– analyser, investiguer, auditer et contrôler,
– fournir les recommandations et avertissements,
– informer et sensibiliser, diffuser une culture informatique et libertés,
– présenter un bilan annuel,
– être le point de contact et de coordination,
– alerter le cas échéant,
– soutenir le responsable de traitement et/ou le sous-traitant,
– accéder à la protection des données.
La charte impose également au DPO de respecter une certaine éthique, et plus précisément :
– de se comporter avec honnêteté, exactitude, équité et indépendance,
– d’offrir uniquement les services professionnels pour lesquels il dispose de la pleine capacité d’exécution, d’informer de façon adéquate les responsables de traitement et leur donneur d’ordre sur la nature des missions assurées ou des services proposés, y compris toute préoccupation ou risque en cours,
– de traiter de façon confidentielle toute information acquise au cours de relations professionnelles,
– de donner priorité, dans toutes leurs actions et réflexion, à la protection des données personnelles des personnes concernées.
Cette charte sera révisée et mise à jour périodiquement par l’AFCDP pour l’adapter à la législation en vigueur et aux meilleures pratiques professionnelles.
Virginie PERDRIEUX
Vivaldi-Avocats
