L’avocat peut être désigné comme DPO (Data Protection Officier), en français DPD (Délégué à la Protection des Données). L’activité d’avocat DPO est une activité réglementée tant par le droit des données personnelles (Règlement Général sur la Protection des Données personnelles [RGPD], et la loi du 6 janvier 1978 « informatique et liberté) que par le RIN (Règlement Intérieur National), lequel fixe des règles de déontologie applicables aux avocats.
Qui ?
Le délégué à la protection des données peut être désigné par tout responsable de traitement de données personnelles, ou son sous-traitant.
Il doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions de DPO.
Lorsqu’il est avocat, le DPO intervient comme prestataire externe sur la base d’un contrat de service.
Bien entendu, le responsable de traitement n’est pas obligé de désigner comme DPO externe un avocat, mais ce dernier étant par définition spécialisé en droit, il a vocation à pouvoir exercer au mieux cette mission.
A fortiori, lorsqu’il est spécialisé en droit des nouvelles technologies, de l’informatique et de la communication.
Une fois désigné, le responsable du traitement ou le sous-traitant doit adresser les coordonnées du DPO à l’autorité de contrôle (CNIL pour la France).
Quand ?
La désignation d’un DPO est obligatoire lorsque :
– Le traitement de données personnelles est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
– Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
-Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données sensibles ou pénales
L’appréciation de l’obligation de désigner ou non un délégué à la protection des données doit se faire au cas par cas, en fonction notamment de la qualité des données traitées, du nombre de personnes concernées par les traitements de données à caractère personnel, du volume des données traitées, de la durée ou de la permanence des activités de traitement, et de l’étendue géographique de l’activité de traitement.
L’expression « à grande échelle » ne signifie pas que le DPO doit uniquement être désigné par les grandes structures : une petite structure peut avoir à traiter des dossiers impliquant de nombreuses données.
Enfin même si la désignation d’un DPO n’est pas obligatoire, elle peut s’avérer en pratique nécessaire pour que le responsable puisse se mettre en conformité avec la réglementation applicable.
Quoi ?
Le responsable du traitement et le sous-traitant doivent :
- Associer le DPO à toutes les questions relatives à la protection des données à caractère personnel
- L’aident à exercer ses missions en lui :
- Fournissant les ressources nécessaires pour exercer ces missions, ainsi que
- Fournissant l’accès aux données à caractère personnel et aux opérations de traitement,
- Permettant d’entretenir ses connaissances spécialisées
- Veiller à son indépendance :
- Pas d’instructions
- Pas de sanctions
- Rapport direct du DPO au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant
- Pas de conflit d’intérêt
L’avocat exerçant une profession réglementée, il est lui-même soumis à un code de déontologie garantissant son indépendance, le secret, et l’absence de conflit d’intérêt.
Comment ?
L’art. 6.3.3 du Règlement Intérieur National précise les règles déontologiques applicables à l’avocat DPO.
Article 6.3.3 alinéa 1 : L’avocat Délégué à la Protection des Données doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client.
Cet alinéa crée deux nouveaux devoirs pour l’avocat DPO : un devoir de non-dénonciation de son client et le devoir de démission en cas de conflit d’intérêts.
Article 6.3.3 alinéa 2 : L’avocat Délégué à la Protection des Données doit refuser de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de correspondant à la protection des données à caractère personnel (CIL) ou de Délégué à la Protection des Données dans le cadre de procédures administratives ou judiciaires mettant en cause le responsable des traitements.
Cet alinéa crée un devoir pour l’avocat de ne pas représenter le client pour lequel il exerce une mission de DPO.
Le but de ces règles est d’éviter tout conflit d’intérêt, toute violation du secret professionnel, et une parfaite indépendance de l’avocat DPO.
L’avocat exerçant son activité comme DPO doit effectuer une déclaration à l’ordre, par lettre ou courriel adressé au Bâtonnier.
Arnaud DIMEGLIO
Avocat à la Cour, Docteur en droit, Titulaire des mentions de spécialisation en droit de la propriété intellectuelle, droit des nouvelles technologies, droit de l’informatique et de la communication.
Bureau principal : 8 place St. Côme, 34000 Montpellier,
Bureau secondaire : 10 avenue de l’Opéra, 75001 Paris,
Tel : 04.99.61.04.69, Fax : 04.99.61.08.26
http://www.dimeglio-avocat.com