Privacy – sociétés de gestion. Nous avons abordé, dans un précédent article, la prochaine entrée en vigueur du General Data Privacy Regulation (GDPR). Toutes les sociétés qui traitent des données personnelles devront, à partir du 25 mai 2018, tenir compte de l’ensemble des droits et obligations issus de ce texte. L’une de ces obligations sera la nomination, pour la majorité des sociétés, d’un Data Protection Officer (DPO). Voyons pourquoi.
Le DPO un nouvel intervenant obligatoire
Le General Data Protection Regulation (GDPR) remplacera la directive de 1995 qui réglemente encore pour une petite année la protection des données personnelles. Le Règlement sera directement applicable en tous ses termes pour l’ensemble des Etats membres pour une plus grande harmonisation de la protection des données personnelles au niveau européen.
Le GDPR comporte un nombre important de nouvelles obligations pour les sociétés qui traitent des données personnelles dont la nomination d’un délégué à la protection des données, évolution du correspondant français à la protection des données à caractère personnel (Data Protection Officer en anglais – DPO). Les nouvelles obligations du GDPR visent à rendre les sociétés accountable quant à leurs traitements de données personnelles.
Les sociétés de gestion, traitant des données personnelles, vont devoir analyser leur future conformité (compliance) au GDPR. Pour ce faire, les sociétés de gestion vont devoir entreprendre d’abord, une analyse de leur situation actuelle de conformité par rapport aux nouvelles règles (réaliser ce que l’on appelle un legal assessment) et ensuite, une implémentation des solutions adéquates. Il leur s’agira, par après, de contrôler les solutions implémentées pour voir si elles sont en effet satisfaisantes. Il s’agit d’un travail de longue haleine qui risque de prendre du temps et qui n’est pas à prendre à la légère (amendes).
L’article 37 du Règlement précise les trois cas de figure où une société est obligée de nommer un DPO dont lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. ». Le critère à partir duquel il est obligatoire pour une société de désigner un DPO n’est pas fondé sur la taille de l’entreprise mais plutôt sur les risques encourus de par le type d’activité(s) de l’entreprise (principalement ou accessoirement dédié au traitement de données) et l’importance des traitements des données (catégories de données traitées, type de traitement et nombre de personnes dont les données sont traitées).
Les sociétés de gestion ont des activités de base qui consistent en des opérations de traitement qui exigent, au sens de l’article 37, un suivi régulier et systématique à grande échelle des personnes concernées. Dès lors, les sociétés de gestion devront nommer un DPO. Notons qu’un groupe de sociétés pourra désigner un DPO unique. Proposition bienvenue pour les succursales de sociétés étrangères. Nous pensons ici à la Scam/SACD belges qui pourraient s’appuyer sur le DPO de leur maison-mère française.
Les compétences et tâches du futur DPO
Le DPO devra :
- posséder des connaissances spécialisées du droit et des pratiques en matière de protection des données;
- posséder une capacité à accomplir les missions qui lui sont confiées par le GDPR (art. 39): informer, contrôler, former le personnel et coopérer avec l’autorité de contrôle;
- être associé et ce le plus tôt possible à toutes les questions de la société concernée relatives à la protection des données personnelles;
- être indépendant dans le cadre de l’exercice de sa mission. Autrement dit, même s’il peut être un employé de la société et être soumis à un horaire de travail par exemple, il ne pourra recevoir aucune instruction, aucune pression ou autre de la part de sa direction concernant son travail de DPO (indépendance);
- faire directement rapport au niveau hiérarchique le plus élevé;
- être consulté lorsque sa société réalise une analyse d’impact relative à la protection des données (art. 35 du GDPR) ou lorsque s’est réalisée une violation de données à caractère personnel (art. 33).
Le DPO peut être un membre du personnel ou un prestataire externe (personne physique ou morale) exerçant sa fonction de DPO sur la base d’un contrat de service. Le DPO ne pourra être démis de ses fonction à raison de l’exercice de ses missions.
La société devra publier sur son site web les coordonnées de son DPO et les communiquer à l’autorité de contrôle.
Précisions apportées par le Groupe de Travail Article 29
Le Groupe de Travail Article 29 est la réunion de l’ensemble des régulateurs nationaux dont la Commission Vie privée belge et la CNIL française. Le Groupe de Travail a adopté le 13 décembre 2016 des Guidelines quant à la nomination obligatoire ou pas d’un DPO.
Le Groupe de Travail encourage les sociétés qui ne sont pas obligées de le faire de nommer un DPO. En effet, cette nomination peut faciliter la conformité des sociétés aux nombreuses exigences du GDPR et constituer dès lors un avantage concurrentiel.
Conclusion
Les sociétés de gestion traitant à de nombreuses occasions des données personnelles (dont celles principalement de ses membres) devront nommer un délégué à la protection des données. Ce délégué, véritable spécialiste de la matière, devra travailler en toute indépendance et avec toutes les ressources nécessaires. Il sera la personne de contact sur le sujet de la protection des données personnelles pour le personnel de la société, pour les superviseurs nationaux et pour le public. Il deviendra à n’en pas douter une personne clef de toute société de gestion.
Picture : Process by Gregor Cresnar