Gouvernance et protection des données personnelles : une mission sur mesure pour le DPO ?

Mettre en place une gouvernance "effective" pour ce qui est de la protection des données personnelles figure aujourd’hui parmi les priorités des directions juridiques ou de celles s’occupant de la conformité des entreprises et des organisations. L’objectif étant lié à la nécessité de garantir les objectifs propres à la législation et à la réglementation en la matière, particulièrement dans un contexte européen et international. Cette priorité doit aussi être considérée comme une obligation qui découle directement des principes de l’article 5 du RGPD, sans pour autant que ses contours et ses modalités soient faciles à appréhender.

Cette gouvernance ayant trait à la protection des données personnelles a cependant déjà fait l’objet de précisions de la part de la Cnil, notamment dans sa délibération du 11 décembre 2014 au sujet de l’évaluation des demandes de label relatives aux procédures de gouvernance des données personnelles au sein des organismes. Dans son référentiel, la Cnil a ainsi précisé les 25 exigences à prendre en compte et les procédures à déployer pour assurer une pleine conformité, tout en soulignant le rôle du DPO. Si cette procédure de labellisation a pris fin du fait de l’entrée en application du RGPD, remplacée par la certification prévue à l’article 42 du règlement, le contenu de ce label reste pleinement d’actualité. Et permet de donner une grille d’analyse très pertinente, en complément d’autres outils comme ceux de la norme ISO 27 701 par exemple[1].

Comment mettre en place une gouvernance effective et efficace en matière de protection des données personnelles selon la Cnil?

Cette dernière détaille trois domaines principaux : celui de l’organisation interne d’abord, celui des méthodes de vérification de la conformité ensuite et, enfin, celui de la gestion des réclamations et des incidents. Trois domaines dans lesquels le rôle et la place prise par le DPO sont essentiels (qu’il soit internalisé ou non).

S’agissant de l’organisation interne : la Cnil rappelle que les aspects liés à la nomination ou non d’un DPO et les ressources qui lui sont allouées doivent être pris en compte. Au-delà des critères rendant sa désignation obligatoire ou non, le fait de désigner un DPO et de l’associer concrètement à la gouvernance en matière de protection des données personnelles est notable et permet de tester si une organisation a mis en place une gouvernance efficace ou non. Il s’agit plus concrètement de montrer comment une entreprise ou une association auront permis à leur DPO de "piloter la mise en conformité des traitements, dès leur conception et par défaut, et d’être associé systématiquement et en amont aux réflexions sur toutes les questions relatives à la protection des données". Ces critères sont exigeants et soulignent en cas le rôle proactif du DPO.

La gouvernance en matière de protection des données personnelles doit aussi pouvoir faire l’objet d’audits et de vérifications dans le temps : c’est le volet du second domaine du label de la Cnil. Une gouvernance ne saurait se constituer uniquement d’un corpus de documentation interne, de politiques et de processus, au contraire, elle implique des contrôles réguliers et dans le temps, afin que l’on puisse en tester l’efficacité et les modalités, là encore avec une implication renforcée du DPO dans l’analyse de tous les projets de traitements de données personnelles. Le cas échéant, cet examen devra inclure la réalisation d’analyses d’impact et avoir un caractère régulier et périodique. Tester et évaluer la gouvernance ayant trait à la protection des données personnelles suppose aussi d’intégrer un examen régulier des dispositifs de sécurité des données au sens de l’article 32 du RGPD, dispositifs évolutifs par nature et amenés à changer en fonction de la menace. Là encore, le DPO doit jouer un rôle actif pour permettre la mise en œuvre des procédures d’audits et de tests d’une part, de correction et de documentation d’autre part.

L’efficacité d’une gouvernance dans ce domaine suppose aussi la prise en compte et la gestion des réclamations et de tous les incidents, notamment au titre des violations de données personnelles : là encore, le DPO joue un rôle actif de point contact, les exigences du label de la Cnil prévoyant qu’il pilote la gestion des demandes des personnes concernées relatives au traitement de leurs données et à l’exercice de leurs droits. Cet aspect est fondamental au quotidien, la journalisation des incidents ou des réclamations permettant de tracer les traitements posant problème ou d’identifier les zones de risques.

L’implication du DPO est ainsi un élément clé d’une gouvernance efficace en matière de protection des données, à condition de s’inscrire dans le cadre des exigences rappelées par la Cnil ou d’autres autorités de protection des données comme l’ICO britannique[2]. Ces dernières exigences constituent des repères utiles lorsque les contours de la mise en conformité peuvent paraître délicats ou incertains. En tout état de cause, l’objectif se résume rapidement et consiste à éviter de mettre en place une gouvernance qui ne serait que de façade. À défaut, les risques de sanctions sont réels comme l’a rappelé la Cnil l’année dernière[3].

Un rôle clé donc pour le DPO qui doit pouvoir intervenir comme un acteur moteur au sein des entreprises et des organisations pour assurer une effectivité au quotidien et dans le temps, sans négliger par ailleurs les aspects éthiques associés à la mise en œuvre d’une gouvernance "protection des données personnelles".