Quand le DPO est-il obligatoire ? : quelques précisions du G29

Voici une question que nombreuses entreprises se posent actuellement. Qu’elles interviennent dans le domaine du e-commerce ou des objets connectés, il semble que toutes ces entreprises, dès lors qu’elles traitent des données à grande échelle et en font un suivi régulier et systématique pour les besoins de leur activité principale, sont tenues de désigner un DPO.

Rappelons que le Règlement Européen sur la protection des données personnelles, adopté le 27 avril 2016 et dont l’entrée en vigueur est prévue le 25 mai 2018, prévoit que la désignation d’un délégué à la protection des données (DPO) est obligatoire tant pour le responsable de traitement que pour le sous-traitant dans trois cas (article 37) :

a) lorsque le traitement est effectué par une autorité publique ou un organisme public ;

b) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Le second cas (b) laisse songeur de nombreux organismes, tant la donnée personnelle est, à l’heure du Big Data, essentielle dans toutes les activités, notamment les e-commerçants. Partant, faut-il comprendre que les entreprises qui effectuent du profilage de leurs clients, notamment par l’utilisation de cookies et traceurs, ce afin de leur proposer des produits adaptés, doivent être considérées comme assurant « un suivi régulier et systématique à grande échelle » de ces personnes ?

Une réponse positive à cette question revient à considérer que la quasi-totalité des e-commerçants doit désigner un DPO.

Le G29, qui regroupe les CNIL européennes, a publié le 13 décembre 2016 des lignes directrices sur l’interprétation de ces dispositions (WP 243), qui viennent apporter quelques indices, sans toutefois encore énoncer clairement et limitativement les cas de désignation obligatoire d’un DPO, ce que l’on peut déplorer sur le plan de la sécurité juridique.

A cette occasion, le G29 vient notamment rappeler s’agissant du cas susvisé qui nous intéresse plus particulièrement, que trois critères doivent être réunis :

- le traitement doit concerner « les activités de base » de l’organisme  : le Règlement indique s’agissant de cette expression que « dans le secteur privé, les activités de base d’un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire » (paragraphe 97 du préambule). Le G29 vient préciser que les activités de base visent les opérations clés nécessaires au responsable de traitement ou sous-traitant pour atteindre ses objectifs, en particulier lorsque le traitement de données forme une part inextricable de l’activité de l’organisme.

Ainsi, par exemple, l’activité de base d’un hôpital est la fourniture de soins. Cependant, cette activité ne peut être fournie sans que soit effectué un traitement de données des patients : l’hôpital est donc tenu de désigner un DPO. Il en est de même s’agissant d’une entreprise en charge de la sécurité de lieux accueillant du public.

En revanche, les traitements de données nécessités par les fonctions support de l’entreprise, telles que par exemple la paie des employés ou le support informatique, constituent des activités auxiliaires, qui n’exigent pas la désignation d’un DPO.

- le traitement doit être « à grande échelle » : le Règlement indique qu’il s’agit des traitements « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées » (paragraphe 91 du préambule).

Le G29 vient ajouter que les facteurs suivants doivent être pris en compte :
-  le nombre d’individus concernés,
-  le volume de données et/ou les différentes catégories de données traitées,
-  la durée, la permanence du traitement,
-  l’étendue géographique du traitement.

Les exemples donnés par le G29 laissent également penser que ce sont les organismes de taille importante qui sont visés : les chaînes de restaurant exploitant les données de géolocalisation de leurs clients, les données traitées à des fins de publicité comportementale par un moteur de recherche, les données traitées par des fournisseurs d’accès à internet…

- le traitement doit impliquer « un suivi régulier et systématique » : le Règlement précise, s’agissant de la notion de « suivi », que « afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit » (paragraphe 24 du préambule).

S’agissant de la notion de « régulier », le G29 indique qu’un ou plusieurs des facteurs suivants peuvent le caractériser : le suivi qui intervient à intervalles particuliers ou à des périodes particulières, le suivi récurrent ou répété à des moments fixes, le suivi intervenant de façon constante ou périodique.

Enfin, s’agissant de la notion de « systématique », le G29 indique qu’un ou plusieurs des facteurs suivants peuvent le caractériser : le suivi intervenant via un système, ou selon une organisation ou une méthode, le suivi intervenant dans le cadre d’un plan plus général de collecte de données, le suivi mené dans le cadre d’une stratégie.

Sont ainsi donnés à titre d’exemples, la fourniture de services de télécommunications, l’email retargeting, le profiling et le scoring visant à par exemple à évaluer les risques de fraudes, le suivi de la localisation, notamment via des applications mobiles, la publicité comportementale, le suivi des indicateurs de bien-être ou de santé via des objets connectés, les voitures connectées, etc.

Le G29 nous semble donc avoir adopté une interprétation extensive des dispositions du Règlement, de nature à obliger de nombreux organismes à désigner un DPO, en ce compris les e-commerçants qui utilisent la donnée pour effectuer des opérations de prospection ciblée, notamment via l’exploitation d’un système de fidélité par exemple, mais également l’ensemble des acteurs d’un secteur en pleine expansion, celui des objets connectés.

Le G29 recommande dans tous les cas aux organismes de réaliser une étude documentée visant à déterminer s’ils doivent ou pas désigner obligatoirement un DPO.

Rappelons encore que la loi nationale pourra également rendre obligatoire la désignation d’un DPO dans d’autres cas que ceux visés par le Règlement.

Dans les cas où le DPO n’est pas obligatoire, il est bien évidemment vivement encouragé, ce dans la mesure où sa fonction essentielle est d’assurer la conformité de l’organisme auquel il appartient à la réglementation encadrant la protection des données personnelles.

En tout état de cause, il est essentiel de se préparer dès aujourd’hui à l’entrée en vigueur du nouveau règlement, tant les obligations qu’il contient nécessitent pour les responsables de traitement et les sous-traitants de modifier leurs habitudes.

Mélanie DEFOORT
Avocat
BRM AVOCATS