Fin janvier, l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) organisait à Paris sa 11 Université des correspondants informatique et libertés (CIL), événement incontournable des professionnels de la conformité à la loi informatique et libertés. Outre des plénières, plusieurs ateliers étaient consacrés au métier de data protection officer (DPO), à son rôle et ses responsabilités.
chef de rubrique
Le data protection officer (DPO) est un nouvel acteur de la protection des données personnelles, introduit par le règlement européen du 26 avril 2016 et applicable le 25 mai 2018. « Il pourra être interne ou externe à l’organisme, explique Fréderic Connes, directeur juridique chez HSC Deloitte. Dans les deux cas, il devra être indépendant, ne subir aucune influence extérieure et ne pas entrer en situation de conflit d’intérêt. De plus, il devra posséder des connaissances spécialisées tant juridiques qu’informatiques. »
En interne, il ne sera toutefois pas un salarié « protégé » comme peut l’être un représentant du personnel. Sa responsabilité n’est pas strictement encadrée par le texte. Pénalement, le DPO sera uniquement responsable des infractions commises par lui-même, comme par exemple une violation du secret professionnel, auquel il est tenu. Civilement, si le DPO interne cause un dommage à des tiers sans excéder les limites de sa mission, il engage la responsabilité de son employeur.
Au vu des enjeux, les grands comptes ont déjà commencé à désigner leur DPO. C’est le cas notamment parmi les groupes de protection sociale d’AG2R La Mondiale (voir AG2R La Mondiale sensible aux données).
« Concernant le DPO externe, poursuit Fréderic Connes, sa responsabilité civile sera encadrée dans son contrat de service. » Du fait de sa position, ses missions et son exposition, il est également le garant de l’image de l’organisme pour lequel il agit.
« Le DPO externe exerce sur la base d’un...
