The topic of Data affects everyone and has been continually addressed by the media and law makers alike. In this article, Anne Pichon explores how Data Protection is a new challenge for legal departments in Europe and particularly in France.
Les données personnelles sont au cœur de l’activité règlementaire en Europe et en France, alors même que les plaintes remontées auprès du régulateur français (la Commission Nationale de l’Informatique et des Libertés, ou “CNIL”) sont en augmentation chaque année.
Si cette progression est corrélée aux volumes croissants de données traitées, elle est également liée à une prise de conscience collective de la nécessaire protection de ces données.
Le Règlement Général sur la Protection des Données adopté par le Parlement européen le 27 avril 2016 suscite déjà beaucoup d’interrogations quant à la déclinaison de certains de ses articles.
Ainsi, la mise en place d’un “Délégué à la protection des données” (ou “Data Protection Officer” “DPO”) inquiète de nombreuses entreprises et, au premier plan, leurs directions juridiques.
Comment déterminer le meilleur profil?
L’article 37.5 du Règlement précise que le DPO est désigné « sur la base de ses qualités professionnelles et de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [s]es missions », au titre desquelles l’information, le conseil et le contrôle du respect du Règlement.
La fonction de DPO reprend une partie des attributions du “Correspondant Informatique et Libertés” (ou “CIL”) en droit français.
Cependant, si nombre d’entreprises ont choisi de désigner un juriste comme CIL, la réflexion sur le profil idéal du DPO s’ouvre aujourd’hui.
Si l’évolution des CIL en DPO est une voie qui apparaît assez évidente pour les entreprises qui auraient déjà sauté le pas avant l’entrée en vigueur du Règlement, il est évident que le recrutement de juristes qui évolueraient avec un complément de formation technique est tout aussi envisageable.
En effet, un bon juriste et, a fortiori, un DPO efficace est celui qui saura trouver la juste distance avec le texte pour ménager le risque juridique avec les réalités opérationnelles. Il aura non seulement de solides connaissances en droit et protection des données mais également le bagage informatique nécessaire pour appréhender la complexité de la technique des traitements de données mis en œuvre dans sa structure.
Chez SSQ, depuis trois ans, il a été constaté par nos équipes en Europe une très forte hausse des demandes de la part des directions juridiques, de juristes aux compétences développées en data protection. Ces derniers sont avocats ou juristes, de formation supérieure en droit des affaires ou en droit des nouvelles technologies. Ce besoin croissant concerne tous les secteurs d’activité.
Au-delà du fait de s’assurer que ces nouveaux juristes disposent des outils techniques nécessaires, nous veillons à ce qu’ils soient pédagogues, qu’ils aient la capacité à travailler en équipe et un bon sens de la communication. Ces qualités sont indispensables pour interagir avec les différents interlocuteurs internes et externes à l’entreprise.
Quel rattachement?
Le Règlement (Art.38.3) impose une obligation, certes générale, mais de résultat, et interdit que le DPO reçoive quelque instruction pour l’exercice de sa mission et impose qu’il fasse directement rapport au niveau le plus élevé de sa direction.
Le DPO sera-t-il rattaché à la direction juridique? À la direction des systèmes d’information? À la direction générale? Les entreprises choisiront-elles un prestataire externe pour s’assurer de son indépendance?
Les directions juridiques paraissent pertinentes au regard de leur position centrale dans l’entreprise, de leur capacité à traiter de questions confidentielles et de leur lien direct avec la direction générale.
Le DPO s’annonce comme une personne-clé de l’entreprise et il est essentiel de s’assurer de l’application homogène du Règlement afin qu’il puisse mener à bien ses missions.
A défaut d’uniformité d’application, il sera facile pour un Etat-membre de réaliser des aménagements au niveau local, dans la mesure éventuellement permise par l’ambiguïté du Règlement et qui pourraient impacter son rôle. Au regard des enjeux colossaux de l’économie de la donnée dans notre société de l’information, il y a fort à parier que certains Etats-Membres n’hésiteront pas à faire en matière de données personnelles ce que certains font toujours en matière fiscale.
For more information on Data Protection, please contact Anne Pichon
