Académique Documents
Professionnel Documents
Culture Documents
L’accroche
Bien que la section IV du Chapitre IV du Règlement Général sur la Protection des Données
(nommé RGPD dans la suite de ce document) :
elle ne permet pas, à elle seule, la rédaction d’une lettre de mission dont l’objectif est
d’encadrer les responsabilité et l’activité du DPD dans un contexte organisationnel concret
et évolutif.
Après avoir préciser le contexte d’intervention, nous proposons d’analyser des textes
réglementaires et doctrinaux, de prendre en compte les recommandations d’organismes
professionnels pour la création d’une lettre de mission.
Il faut commencer la rédaction du devoir par un exposé des faits pertinents, c’est-à-dire les
faits qui permettront l’identification du problème posé par l’affaire et du droit qui y sera
applicable.
L’objectif de cette note est de proposer une lettre de mission détaillée de Délégué à la
Protection des Données, salarié, s’inscrivant dans la réglementation applicable sur le
territoire français.
Les contextes organisationnel et sectoriel ne sont pas fixés, bien que la taille et le nombre de
des établissements, leur situation, comme les spécificités de son ou ses activités, sa dimension
internationale ou non, peuvent avoir un impact conséquent sur la fonction, comme sur les
missions et compétences requises par le Délégué ou l’équipe dédiée à la la Protection des
Données.
Cependant, dans le cadre des consignes orales données par l’enseignant, l’initiative de les
préciser est laissée au rédacteur.
Dans le cadre de ce cas pratique, nous avons choisi de situer notre étude dans le cadre d’une
association loi 1901, reconnue d’utilité publique, dont l’activité principale est la gestion de
quatre foyers de jeunes travailleurs tous situés dans le Val d’Oise.
Cette association comprend XX salariés et dispose d’un parc de 434 logements permettant
d’accueillir au maximum 480 résidents, pour lesquels un suivi social individuel est organisé
en conformité avec .
Par ailleurs, l’association reçoit plus de XXX candidatures par an, mais qui ne se
concrétisent pas toutes par un traitement de données.
Dans le cadre de son activité, l’association est en relation forte avec des partenaires
institutionnels : CAF, Conseil Départemental qui participent à son financement, Service des
tutelles, Bailleurs de logements sociaux, assocations d’insertion, Assistantes sociales, qui
sont ponctuellement destinataires ou fournisseurs de données personnelles des résidents.
Le traitement des données n’est pas complètement informatisé : Par exemple la procédure de
candidature à hébergement dispose d’un traitement papier, les entretiens individuels de suivi
social ne font pas l’objet d’une saisi sur un logiciel dédié.
La fonction de Délégué à la Protection des Données interne a été créée en mars 2019. Elle
fait l’objet d’un travail à temps partiel et est occupé par un salarié qui ne dispose d’aucun
autre poste au sein de l’association ni d’aucune autre activité.
C’est-à-dire rattacher un fait concret à une catégorie abstraite connue du droit qui,
contrairement aux faits, a une portée générale.
Par exemple, s’il est indiqué qu’un enfant est né pendant le mariage d’un couple, il y a tout
lieu de penser que cet enfant est légitime .
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
modifiée en vertu du décret 2019/536 du 30 mais 2019.
Lignes directrices concernant les délégués à la protection des données (DPD), WP 243
rev.01 adoptée le 13 décembre 2016 et résivée et adoptée le 5 avril 2017.
Rapport sur le statut des délégués à la protection des données du Contrôleur Européen de la
Protection des Données du 17 décembre 2012, notamment le point 4 portant sur le mandat du
délégué.
Union Sociale pour l’Habitat : N° 41 de la revue Repères, sur le RGPD. Référence principale
prise par l’Union Régionale pour l’Habitat des Jeunes (URHAJ) de l’Ile de France.
Le point a) désigne explicitement les traitements effectués par des organismes publics.
Pour qualifier ce caractère public, la directive sur les délégués à la protection des données
(WP 243 rev.1 du 13 décembre 2016, révisée et adoptée le 5 avirl 2017), renvoie à L’article 2
de directive 2019/1024 du Parlement Européen et du 20 juin 2019, concernant les données
ouvertes et la réutilisation des informations du secteur public qui précise :
a) ils ont été créés pour satisfaire spécifiquement des besoins d'intérêt général
ayant un caractère autre qu'industriel ou commercial;
c) soit ils sont financés majoritairement par l'État, les autorités régionales ou
locales ou d'autres organismes de droit public, soit leur gestion est soumise à
un contrôle de ces autorités ou organismes, soit leur organe d'administration,
de direction ou de surveillance est composé de membres dont plus de la moitié
sont désignés par l'État, les autorités régionales ou locales ou d'autres
organismes de droit public; (…)»
Le décret no 2015-951 du 31 juillet 2015 relatif aux foyers de jeunes travailleurs, rappelle
que cette activité est soumise à agréement (sauf cas de dispense explicite) et précise les
publics concernés comme les prestations obligatoires dont ils doivent bénéficier.
Le point b) est relatif aux activités de base du Responsable de traitement qui « consistent en
des opérations de traitement, qui du fait de leur nature, de leur portée et/ou de leur finalité ,
exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Dans les lignres directrices concernant les délégués à la protection des données, le Groupe
article 29 précise les notions de grande échelle, notamment le nombre de personnes
concernées en valeur absolue ou relatif et le volume et/ou le spectre des données traitées, de
suivi régulier, notamment ayant lieu de manière constante ou périodique, et sytématique, en
particulier préétabli, organisé ou méthodique.
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
modifiée en vertu du décret 2019/536 du 30 mai 2019, ne précise pas d’autres cas rendant
obligatoire cette désignation.
L’association ne traite aucune donnée relative aux articles 9 et 10 du RGPD. Elle n’est donc
pas soumise au point c) de l’article 37 du RGPD.
La gestion locative, comme la suivi personnalisé rendu obligatoire par le décret no 2015-951
du 31 juillet 2015 relatif aux foyers de jeunes travailleurs, implique le traiement d’un volume
important de données à caractère personnel, avec un suivi systématique (préétabli, organisé
ou méthodique) et régulier (ayant lieu de manière périodique).
L’alinea 5 de l’article 37 du RGPD portant sur les qualités professionnelles, notamment ses
connaissances spécialisées en droit de la protection des données et ses capacités à réaliser
les missions spécifiées à l’article 39.
La directive sur les délégués à la protection des données (WP 243 rev.1 du 13 décembre
2016, révisée et adoptée le 5 avirl 2017), fait des recommandations sur :
- Le niveau d’expertise qui doit être proportionné « à la sensibilité, à la complexité et
au volume des données traitées par un organisme » et de prendre en considération
l’importance spécifique des besoins de sécurité afférents aux traitements.
- La nécessaire maîtrise de la législation et des pratiques en matière de protection des
données.
- Une culture des organisations, des systèmes d’information et problématiques métiers
de l’entreprise.
- L’intégrité et le niveau déontologique
- Les qualités de communication et pédagogiques du DPD.
L’alinea 2 de l’article 37 du RGPD prévoit qu’un DPD puisse être désigné pour plusieurs
établissements, à condition soit facilement joignable à partir de chacun d’entre-eux.
La directive sur les délégués à la protection des données (WP 243 rev.1 du 13 décembre
2016, révisée et adoptée le 5 avril 2017) au point 2.3, souligne que la désignation d’un seul
DPD pour plusieurs établissements, ne doit pas faire obstacle à la réalisation de ses
missions.
Cette recommandation est conforme à l’alinea 2 de l’article 38 qui précise que le
Responsable de Traitement et le sous-traitant doivent fournir au DPD les ressources
nécessaires à la réalisation de ses missions.
Bien que les lignes directrices n’aient pas de valeur légale contraignante, elles semblent en avoir les
effets, dans la mesure où elles sont l’expression de la volonté de la communauté européenne
d’homogénéiser les pratiques au sein des différents états concernés.
Les Lignes Directrices concernant les délégués à la protection des données (DPD) WP 243 adoptées le
13 décembre 2016, révisées le 5 avril 2017, constituent un ressources importantes pour la bonne
compréhension des conditions de l’obligation de cette diligence, ainsi que ses fonctions et missions.
Par ailleurs, bien que le métier de Délégué à la Protection des Données ne figure pas dans la liste des
professions réglementées, la définition de son contenu, comme des qualités et compétences que
doivent détenir leur titulaires, les y assimilent clairement.
Sur 18 pages de commentaires stricto-sensus (hors page de garde, sommaire et annexe) 11 sont
consacrées aux conditions de licéité de la fonction, montrant ainsi l’importance qui doit être accordé
à ce sujet, y compris dans la lettre de mission.
Finalité générale de la fonction Insiste sur le principe de responsabilité qui est au Introduction.
cœur de la nouvelle réglementation.
Faciliter la conformité avec les disposition du
RGPD grace à la mise en œuvre d’ouvils de Rôle de facilitation (conseil, assistance) :
responsabilité (facilitation des AIPD, d’audits)
et être les intermédiaires entre les acteurs Ce point est à mettre en relation avec l’importance
concernés (Autorité de contrôle, personnes du rôle d’information et de formation du DPD.
concernées, services au sein de l’organisme). Pour que le principe de responsabilité vive dans
l’organisme, les salariés, comme les personnes
concernées doivent l’assimiler et comprendre le
cadre légale du traitement des données, comme
leurs droits, indispensables pour à sa fluidité et
son respect.
A éclairer.
Licéité du DPD.
Désignation du DPD
Implique l’obligation pour le RT qui ne désigne pas Article 37
Rappel des cas de désignation obligatoire : de DPD d’expliquer en quoi il ne correspond pas paragraphe 1
aux critères désignation.
Une autorité publique ou un organisme public.
Par contre, en cas de désignation volontaire, n’est
Fait référence à la Directive 2003/98/CE, qui il pas tout aussi fondé de faire la même
précise ces deux notions qui incluent de démarche ?
nombreux organismes privés dont le
financement ou la direction est assurée par la Dans tous les cas, le suivi de l’évolution de la
force publique. sitution de l’organisme au vu de ces critères est
nécessaire.
Article 38
Fonction du DPD
Le 3.1 de la directive concerne deux points :
Implication du DPD de manière appropriée et
en temps utile, à toute question relative à la La mobilisation des compétences du DPD sur tous
protection des données à caractère personnel. sujet pouvant avoir un impact sur la protection des
données, ainsi que son implication des l’amont
La directive cite en particulier 2 exemples, le dans les projets de traitement de données et en
privacy by design et l’AIPD. cas d’AIPD.
Art.38 par.2 du
Ressources nécessaires. RGPD
En insistant sur les moyens et compétences
Souligne l’importance de l’équilibre entre les nécessaires à l’exercice de la fonction, la directive
moyens et les le volume, la complexité de la fait de l’équilibre des moyens et des finalités de la
tache confiée au DPD. fonction un critère d’évaluation possible de la
mise en œuvre correcte du RGPD.
Cela concerne les ressources en matière de
temps, de matériel, de personnel et de Il parait donc nécessaire de prendre en compte cet
compétence externe, de budget ainsi que aspect dans la lettre de mission, notamment en
d’accès aux informations nécessaires à sa décrivant de manière précise les ressources
fonction. initiales mises à disposition et la prise en compte
de leur évolution au travers de points réguliers.
Le paragraphe 3.2 insiste également sur la
bonne prise en compte des compétences Par ailleurs, afin d’offrir des garanties suffisantes Rapport sur le
personnelles nécessaire au DPD pour de stabilité dans la fonction, il devrait être prévu, à statut des
l’exercice de sa fonction, en favorisant sa l’égal des DPD externe une durée minimale de délégués à la
formation continue et en prenant en compte maintien dans la fonction. protection des
le besoin de compétence technique ou données (CE
juridique supplémentaire pour garantir la 17/12/2012).
fonction.
Conflit d’intérêts.
Missions du DPD
Contrôle du Respect du RGPD Art. 39 par. 1 du
RGPD
Commente le rôle de conseil et d’assistance Le point présent (4.1) et le suivant (4.2)
du RT et du SSTT sur le respect interne du permettent d’éclairer la séparation des rôles de Considérant 97
RGPD. DPD et de RT : du RGPD
Mais également contribue à éclaire la Le DPD est dans un rôle d’audit, de conseil,
séparation des rôles entre DPD et RT : d’assistance et de recommandation du RT.
C’est au RT de mettre en œuvre des mesures Le RT met en œuvre les mesures techniques et Art. 24 par. 1 du
techniques et organisationnelles appropriées organisationnnelles appropriées pour s’assuerer et RGPD
pour s’assuer et être en mesure de démontrer être en mesure de démontrer le respect du
que le traitement est effectué conforméméent règlement.
au règlement.
Cette disposition permet de garantir le DPD de ne
Dans le cadre de sa fonction de contrôle le pas mettre en cause sa fonction par un conflit
DPD peut notammeent recueillir des d’intérêts du fait d’une intervention comme RT.
information pour le recensement des activités
de traitement, analyser et véfifier la Cette distinction fondamentale doit être intégrée
conformité des activités de traiementn(audit), dans la lettre de mission.
informer, conseiller le RT et le SST, formuler
des recommandations.
La distinction rôles présentée dans le point 4.1 Le point 4.2 vient compléter la séparation des Art. 35 par. 1 du
s’applique également au AIPD. rôles entre RT et DPD, ainsi que préciser les RGPD
obligations du RT au regard du DPD, obligations
Le rôle du DPD est de dispenser des conseils qui pourraient constituer les critères de validité de
sur demande en ce qui concerne l’AIPD et d’en l’AIPD.
vérifier la réalisation.
Cette distinction est à inclure dans la lettre de
Ce point fait au RT l’obligation de consulter le mission.
DPD notamment sur les questions suivantes :
Une appréciation par les risques est fortement On devrait retrouver ce point dans les finalités
conseillée par la directive qui y voit un générales de la fonction.
principe discriminant et de priorité dans les
chantiers à engager par le DPD.