La loi fédérale sur la protection des données (LPD) actuellement en vigueur et le Règlement général sur la protection des données (RGPD) mentionnent tous deux la possibilité, voire l’obligation, pour les responsables de traitement, privés ou publics, de désigner un conseiller ou un délégué à la protection des données (en anglais: data protection officer, ou DPO). La législation suisse utilise le terme « conseiller à la protection des données » alors que la réglementation européenne le nomme « délégué à la protection des données ». Ces termes sont des synonymes.
Le durcissement des conditions pour traiter des données personnelles va sans doute rendre indispensable cette fonction, en particulier auprès des acteurs qui traitent de grandes quantités de données personnelles ou qui ont des activités commerciales à l’étranger. Lorsqu’elle n’est pas imposée par la législation, la désignation d’un conseiller ou délégué à la protection des données représente parfois une contrainte, mais elle peut aussi être perçue comme un avantage commercial et concurrentiel: le responsable de traitement donne ainsi l’image d’être respectueux et digne de confiance. Elle peut aussi découler d’un besoin d’adopter une stratégie cohérente en matière de protection des données, de la reconnaissance des données comme une actif de la société ou de la nécessité d’avoir un représentant spécialisé pour diriger la réglementation interne. En outre, le développement des technologies de l’information, des modèles prédictifs, du machine Learning, des moyens de transport autonomes, de l’e-santé amène des questions juridiques, technologiques, éthiques et assurantielles auxquelles un responsable de traitement sera un jour ou l’autre confronté et dont il devra se préoccuper en amont. La désignation d’un conseiller ou délégué à la protection des données permettra en principe de couvrir ces dimensions avec sérénité. Mais son rôle n’est pas seulement de s’assurer du respect des normes juridiques et techniques grâce à ses connaissances transversales: il lui incombera aussi de diffuser une culture de la protection des données, de sensibiliser ses collègues et supérieurs, de participer dès le début à la mise en place de projets impliquant un traitement de données personnelles. Le conseiller ou délégué à la protection des données doit donc devenir un acteur central d’une entreprise ou d’un organe public.
L’article 37 du RGPD rend obligatoire la désignation d’un délégué dans trois situations: pour les organismes et autorités publics, en cas de traitement consistant à suivre systématiquement des individus sur une grande échelle, ou en cas de traitement de données sensibles ou relatives aux infractions pénales. Le G29(*) donne comme exemples de traitements rendant obligatoire la désignation d’un délégué, la tenue des dossiers des patients dans un hôpital, ou les activés d’une société de sécurité privée. Le G29 donne quelques exemples d’activités pouvant constituer un suivi régulier et systématique nécessitant la désignation d’un délégué: exploitation d’un réseau de télécommunication, services de télécommunications, redirection de courrier électronique, marketing basé sur les données, profilage et notation aux fins d’évaluation d’un risque (demande de crédit, prime d’assurance, lutte contre la fraude et le blanchiment), localisation par applications mobiles, programme de fidélité, publicité comportementale, objets connectés permettant d’évaluation le bien-être et la santé, vidéoprotection, objets connectés (compteur dit intelligent, voiture, domotique…). Pour finir, le RGPD permet au droit de l’Union ou au droit d’un Etat membre d’exiger la désignation d’un délégué à la protection des données dans des cas supplémentaires à ceux prévus par le RGPD.
La législation suisse (al.2 et 3 de l’art. 11a LPD) quant à elle impose aux responsables de traitement publics (organes fédéraux) et privés de déclarer leurs traitements de données personnelles au Préposé fédéral à la protection des données et à la transparence en cas de traitement régulier de données sensibles ou de communications régulières de données personnelles à des tiers. L’article 11a alinéa 5 lettre e LPD dispose par ailleurs que « le responsable de traitement n’est pas tenu de déclarer son traitement s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application interne des dispositions relatives à la protection des données et de tenir un inventaire de traitements » (Date: 31.03.2020; Auteure: Sophie Prignon).
*G29, Lignes directrices concernant les délégués à la protection des données, WP 243 rév. 01 du 5 avril 2017.