Le 25 mai 2018, le nouveau
règlement européen sur la protection des données personnelles (ci-après GDPR - Règlement général sur la protection des données) est entré en vigueur. Ce règlement est connu pour son effet extraterritorial: il est obligatoire pour une utilisation dans tous les pays de l'UE, et sous certaines conditions étend son effet aux entreprises non européennes ou les oblige à aligner leurs activités avec le RGPD afin de ne pas perdre leur partenaire européen. Par conséquent, les affaires russes peuvent également être affectées par une nouvelle loi, dont une analyse générale est disponible
ici . Le RGPD renforce le régime précédemment établi pour la protection des données personnelles et introduit de nouvelles obligations pour les organisations traitant ces données.
En particulier, le règlement a modernisé la profession déjà existante en charge de la protection des données (ci-après DPO - Data Protection Officer). Ce poste était également prévu dans la
directive-cadre de 1995 , qui a été remplacée par un nouveau texte. La législation précédente réglementait les activités d'un tel spécialiste, mais n'insistait pas sur sa nomination sans faute.
Quand le DPO doit-il être prescrit?
Aujourd'hui, à l'ère du RGPD, la nomination d'un DPD est devenue obligatoire dans les cas suivants (
article 37 du RGPD ):
- Dans les entreprises qui effectuent systématiquement et régulièrement un suivi à grande échelle des individus (il s'agit le plus souvent d'un suivi à des fins de publicité contextuelle);
- Dans les entreprises qui effectuent un traitement à grande échelle de catégories spéciales de données personnelles, telles que les données de santé, etc.;
- Dans toutes les autorités publiques qui traitent des données personnelles.
Dans tous les autres cas, la nomination du DPD reste facultative. Néanmoins, les régulateurs européens demandent à l'unanimité de ne pas négliger un tel spécialiste et de déléguer le pouvoir de protéger les données personnelles à un professionnel dans ce domaine.
Une telle innovation du législateur européen s'explique facilement par la philosophie du règlement lui-même: un régime de protection des données amélioré; responsabilité accrue des sous-traitants; d'énormes sanctions en cas de violation des dispositions du RGPD. Pour adapter leurs activités aux nouvelles exigences, les entreprises ont besoin du soutien de spécialistes hautement spécialisés.
Déficit sur le marché des services DPO
Certes, les parlementaires n'ont pas pris en compte ou simplement ignoré le fait que le marché actuel des services de protection des données personnelles n'est pas prêt à résister à un tel afflux de nouveaux clients qui sont contraints de recruter des DPD. Malgré le fait que cette profession existe depuis plus d'une journée, le nombre de spécialistes laisse à désirer même sur le marché européen. Ainsi, selon les
recherches de l'IAPP (International Association of Privacy Professionals), 28 mille spécialistes devraient être embauchés en 2018 uniquement dans l'UE et aux États-Unis. Et dans le monde, ce chiffre atteint 75 000.
De toute évidence, une telle demande ne peut être satisfaite exclusivement par des professionnels internes (employés internes des entreprises). À cet égard, de nombreuses entreprises se tournent vers des organisations de conseil externes qui fournissent des services DPO. Par exemple, pour les petites et moyennes entreprises, cela peut être beaucoup plus facile que d'embaucher un nouvel employé. En tout état de cause, le statut externe ou interne n'a pratiquement aucun effet sur les activités du DPD lui-même.
DPO - avocat ou spécialiste informatique?
Tout d'abord, vous devez comprendre que le DPD doit avoir des connaissances juridiques. Cette conclusion découle directement de l'
article 39 du règlement européen, qui énumère les tâches et missions du DPD. Dans une plus large mesure, il s'agit bien sûr d'un avocat. De plus, ce doit être un avocat qui possède de solides compétences en gestion et une expertise technique appropriée, c'est-à-dire un gestionnaire.
Moins souvent, le rôle du DPD est joué par des spécialistes du domaine des technologies de l'information, qui n'ont que des notions de base sur le droit. Certes, cette situation est caractéristique des pays occidentaux. Sur le marché intérieur de la protection des données personnelles, ce sont les informaticiens qui dominent, et non les avocats du tout. Le RGPD, qui est déjà entré en vigueur, devrait faire pencher la balance du côté des juristes en Russie, plus précisément des juristes spécialisés.
D'une manière ou d'une autre, les grandes entreprises préfèrent bien entendu embaucher des spécialistes pour assurer la sécurité informatique et d'autres pour les données personnelles. Les petites et moyennes entreprises tentent de faire un choix en faveur d'un employé compétent dans les deux domaines.
Pourquoi cela se produit-il? La réponse se trouve à première vue: le RGPD a trop de responsabilités pour les entreprises.
D'une part, il est nécessaire d'assurer la sécurité des données personnelles, de répondre correctement en cas de fuite. Cela est généralement effectué par des informaticiens. D'autre part, il est nécessaire de conclure des accords correspondant juridiquement aux exigences du règlement, de tenir des registres spécialement prévus, de contacter les autorités de contrôle et de remplir d'autres obligations «papier». Et les avocats, parfois même les managers, y participent généralement.
En conséquence, un bon spécialiste dans le domaine des données personnelles est une sorte de mélange de toutes ces professions.
Que fait DPO?
En ce qui concerne le périmètre des activités de DPO, un tel employé fera tout ce qui est nécessaire pour que l'entreprise se conforme pleinement à la réglementation européenne et aux autres lois dans le domaine de la protection des données personnelles et, ainsi, évite les sanctions importantes ainsi que les risques contractuels avec les partenaires.
DPO procédera à un audit général de l'activité, identifiera toutes les catégories de données personnelles traitées par l'entreprise, proposera des mesures pour assurer leur sécurité, ainsi qu'une stratégie générale de développement vers une utilisation légitime des données. Il négociera également avec le superviseur si nécessaire. Il contribuera également à répondre correctement aux demandes des personnes dont les données sont traitées par l'entreprise. En général, presque tout ce qui concerne les données personnelles relèvera du périmètre DPO.
Si un tel employé était négligé à l'ère du RGPD, ainsi qu'au milieu de scandales majeurs avec la fuite de données personnelles, c'est aux entreprises elles-mêmes. Mais encore une fois, cela n'est nécessaire que pour ceux qui n'ont pas la responsabilité directe de nommer un DPD.
Caractéristiques de la fourniture de services DPO
Lorsqu'une organisation envisage de recruter un DPD, il est important de comprendre qu'il existe deux principaux types de services dans ce domaine: les services internes susmentionnés et les services de conseil. Dans le premier cas, le salarié est embauché en vertu d'un contrat de travail, dans le second, une société de conseil externe fournit des services de DPO dans le cadre d'un contrat de droit civil. Quelle que soit l'option choisie, l'entreprise elle-même restera la personne légalement responsable. DPO ne sera en aucun cas responsable du non-respect par la société des dispositions du RGPD.
De plus, la réglementation européenne prévoit strictement l'indépendance totale d'un spécialiste de la protection des données personnelles. Dans le cas de l'interne, le DPD ne peut rendre des comptes qu'à la personne occupant le poste le plus élevé dans la hiérarchie. Dans le cas de la consultation externe, le DPD ne devrait pas être en situation de conflit d'intérêts, ce qui se produit souvent s'il s'agit, par exemple, d'un avocat.
Dans tous les cas, le conflit d'intérêts et l'indépendance du DPD sont toujours vérifiés par le superviseur dans le domaine de la protection des données personnelles. Il s'agit d'un processus obligatoire et toute affectation DPO doit être déclarée au régulateur. En d'autres termes, chaque fois qu'un DPD est nommé, le superviseur doit en être informé.
Vous pouvez en savoir plus sur les diverses subtilités associées à la nomination du DPD, à la fois obligatoires et facultatives, ainsi que ses fonctions et missions à partir des
lignes directrices du
groupe de travail WP29 . Cette organisation existait à l'époque de la directive-cadre de 1995, et sa tâche principale était d'interpréter la législation dans le domaine de la protection des données personnelles. Avec l'entrée en vigueur du RGPD, le groupe de travail a été remplacé
par le Comité européen de la protection des données, mais les travaux du WP29 n'ont pas perdu de leur importance.
Quelques informations sur la profession DPO
Aujourd'hui, il est totalement incompréhensible quel type de formation un demandeur d'emploi pour un DPD en Russie devrait avoir. Les établissements d'enseignement ne proposent presque pas de programmes spéciaux dans le domaine du droit numérique ou de la protection des données personnelles. Bien sûr, la demande sur le marché intérieur est beaucoup plus faible que sur le marché européen, mais pas suffisante pour justifier un tel écart. Les grandes écoles de droit commencent tout juste à introduire des cours spéciaux en informatique.
De nombreuses organisations internationales proposent depuis longtemps diverses méthodes de certification. Par exemple, l'
IAPP susmentionné propose un cours préparatoire sur le RGPD et certifie ceux qui réussissent l'examen. Ce cours est accessible à tous les arrivants et l'accréditation IAPP est très appréciée dans le monde entier.
Quant à la rentabilité de la profession, si l'on en croit par exemple l'association française des responsables de la protection des données personnelles, le DPO moyen en Europe gagne de 2,5 mille à 4 mille euros. Cette fiche correspond grosso modo au revenu moyen d'un programmeur européen. En conclusion, nous pouvons nous attendre à une égalité approximative entre les revenus de ces deux professions sur le marché intérieur.
Pour résumer, il faut souligner que le Délégué à la protection des données est une profession jeune qui a reçu une impulsion significative au développement grâce à l'entrée en vigueur du nouveau règlement européen GDPR. Aujourd'hui, la protection des données personnelles sur le RGPD est une tendance scientifique à laquelle les entreprises du monde entier devraient prêter attention, et pas seulement en Europe. Bientôt, une pleine coopération avec les partenaires européens ne sera possible que si le RGPD est respecté, ce qui est difficile à imaginer sans au moins intégrer la profession de DPD dans le secteur des services de conseil.
