Le "délégué à la protection des données" ou le mouton à cinq pattes

Le projet de règlement européen de protection des données personnelles adopté à une écrasante majorité par le Parlement (621 voix ) prévoit de rendre le " Data Protection Officer" obligatoire. Cette fonction désormais essentielle à l'ère du Big Data pourrait être assimilée à une sorte de "commissaire aux comptes de la data".

Depuis 2004, la loi française du 06/01/1978,  permet déjà aux organisations de désigner un Correspondant Informatique et Libertés (CIL) afin de bénéficier d’un allègement des formalités administratives auprès de la CNIL et de garantir la conformité des traitements de données à caractère personnel au sein de l’organisation. Il peut s’agir d’un salarié de l’entreprise ou d’un prestataire externe
Le projet de règlement va plus loin. Le délégué (Data Protection Officer) pourrait devenir le nouveau « commissaire aux comptes de la data » et bénéficier d’une protection spéciale contre le licenciement.
Le texte rend sa désignation obligatoire à la fois pour le responsable de traitement et pour le sous-traitant, dans les cas suivants :
  • Secteur public,
  • Secteur privé, si le traitement  concerne plus de 5000 personnes sur une période de 12 mois,
  • Secteur privé si le traitement est effectué par une entreprise, quelle que soit sa taille, dont le cœur de métier porte sur les traitements de données sensibles, de données de localisation ou de données relatives à des enfants ou à des employés dans des fichiers de grande ampleur ou s’il s’agit d’opérations de traitement exigeant un suivi régulier et systématique des personnes.
Un groupe d'entreprises pourrait désigner un délégué principal à la protection des données, s’il existe un délégué à la protection des données sur chaque lieu d'établissement.
Au regard des qualifications décrites dans le texte adopté par le Parlement, le délégué a pu être qualifié par certains de « mouton à cinq pattes » ; Il devrait posséder au moins les qualifications suivantes :
  • une connaissance étendue théorique et pratique de la législation en matière de protection des données, y compris les mesures et procédures techniques et organisationnelles;
  • la maîtrise des exigences techniques concernant la protection de la vie privée dès la conception (Privacy By Design), la protection de la vie privée par défaut et la sécurité des données;
  • une connaissance spécifique du secteur d'activité;
  • la capacité de mener à bien des inspections, des consultations, à établir une documentation et à effectuer des analyses de fichiers;
  • et la capacité à travailler avec des représentants des employés. 
Certes ce texte dont les dispositions renforcent la protection des données personnelles doit encore être soumis au Conseil des Ministres dans les prochaines semaines. Néanmoins il participe d’une tendance plus générale visant à responsabiliser les acteurs, qu’ils soient responsables de traitement ou sous-traitants.
Ce texte devrait certes faire l'objet d'amendements par le Conseil, mais la philosophie qui le sous-tend semble bien ancrée. Une grande partie de ses dispositions pourraient être validées au moins dans leur esprit. Il n’est que temps de s’y préparer.
Nul doute que la fonction de « Data Protection Officer » a de beaux jours devant elle